将日期直接插入 MySQL 数据库是否安全？

Question

所以目前我有一个带有date 类型元素的表单，提交时我使用这个处理表单：

<?php
// Only process POST requests.
if ($_SERVER["REQUEST_METHOD"] == "POST") {
    $date_posted = $_POST['date_posted'];

    $stmt = $mysqli->prepare("INSERT INTO test(date_posted) VALUES (?)");
    $stmt->bind_param("s", $date_posted);
    $stmt->execute();
    $stmt->close();

    http_response_code(200);
} else {
    http_response_code(403);
}
exit;

为了演示的目的，这被简化了 - 但它可以正常工作。

我的问题是，通常我会对 text 表单元素之类的东西进行各种字符检查，但对于 date 对象 - 像这样直接插入数据库是否安全？在插入安全方面，我应该检查任何潜在的滥用行为吗？

Answer 1

所以目前我有一个带有日期类型元素的表单

不能依赖任何形式的客户端检查。浏览器可能不支持该输入类型，或者用户可能会绕过它。

在插入安全措施之前，我是否应该检查任何潜在的滥用行为？

您使用的是绑定参数，因此无需担心 SQL 注入。

可能发生的最坏情况是有人发送的不是日期（或格式不正确的数据）。这将产生以下两种结果之一：

• 不符合表中列数据类型要求的数据语法，INSERT失败（静默，因为你不测试错误）
• 它被插入到表中（例如，如果您有一个 VARCHAR 字段），然后您尝试将其视为日期并得到错误或错误数据。

Answer 2

您应该进行与任何其他字段相同的完整性检查。

您的表单可能只允许输入日期，但我可以向您的服务器发送一个 POST 请求，在“date_posted”POST 字段中包含我想要的任何内容，并将其用于 SQL 注入。