如何安全地使用$_GET['id']通过选择html表行从数据库中获取详细信息

Question

因此，我让这段工作代码单击一个链接，在输入文本框中显示来自数据库某一行的另一页的详细信息。

    <?php
            foreach ($allCentrifuge as $list) {
                $id = $list['id'];
                ?>
                <tr>
                    <td><?php echo $list['experiment'] ?></td>
                    <td><?php echo $list['project_name'] ?></td>
                    <td><?php echo $list['project_date'] ?></td>
                    <td><a href="../Views/user_centrifuge.php?id=<?php echo $list['id']?>">Details</a></td>
                </tr>
                <?php
            }
            ?>

和这个函数来获取这些详细信息：

    public function fetchCentrifuge()
    {

        $uid = $_GET['id'];

        try {

            $stmt = $this->dbconn->prepare("SELECT * FROM centrifuge WHERE id = ?");
            $stmt->execute(array($uid));
            return $stmt->fetchAll();
        }

因此，从我读过的所有主题来看，很明显，这对SQL注入是危险的。但是如何将这些代码与准备好的语句一起使用呢？我似乎不能用id占位符使它工作。

Answer 1

看起来还不错。您还可以将输入var转换为INT。

(int)$_GET['id'] or intval($_GET['id'])