不是,應該要這樣說:
只有能受到使用者操作的資料才需要防範 SQL 注入。
不要輕易相信使用者輸入的資料,這也是伺服器需要資料驗證的原因。
任何可被使用者操作後,並使用到資料庫的動作。都能做到SQL注入
如登入、登出、搜尋、留言、列表排序、條件。
或許你會說排序類沒輸入任何值。為何會被SQL注入。
大多數來說,排序、條件。很多人其實還是會用GET的固定值來處理。
雖然沒有任何輸入框可供使用者輸入。
但依然可以利用POST、GET的方式來跟你請求資料的情況下。就有機會這樣。
這樣是否明白