Я застрял в проблеме с sql-инъекцией. На моей странице отображаются данные таблицы следующим образом:
<input type="checkbox" name="id[]" value="<?php echo $row['id']; ?>" /><?php echo $row['data']; ?><br /> Как я могу быть уверенным, что представленное значение является идентификатором этой конкретной строки, а не случайным числом, «введенным» на странице?
Очевидно, я бы начал проверять, что id возвращает true в is_numeric() / получает его через mysql_real_escape_string().
Затем я подумал о двух вариантах:
Добавление скрытого ввода с копией $ row ['data'], чтобы я мог проверять соответствие между id и данными перед любым mysql_query()
Изменение идентификатора строки из числа с автоматическим добавлением до большого случайного числа, чтобы я мог снизить вероятность удачного попадания.
У меня это неправильно? Любая лучшая идея? Спасибо за вашу помощь!