我在prestashop论坛上读到函数Tools::getValue()不能逃脱sql注入。现在我想知道当我想要获取字符串或int值时,如何防止这个函数进行sql注入?
有人能给我举个例子吗?
Tools::getValue()仅检索POST或GET值。
为了防止SQL注入,您可以使用pSQL()函数,或者对于int值,您可以进行类型转换。
$int_val = (int)Tools::getValue('someValue');
$string_val = pSQL(Tools::getValue('someValue'));