$_GET[var] - sikkerhed mod direkte skrift i browser
Hej!Jeg bruger $_GET til at sortere et tabeludskrift. Problemmet er nu at min database MySQL indeholder oplysninger som brugerne ikke skal kunne få info om. Jeg har forsøgt mig med følgende if-sætning uden størrere held:
if(isset($_GET['order'])){
if($_GET['order'] == "nation" || "firstname" || "lastname" || "age" || "no_races" || "gold" || "silver" || "bronze"){
$order = $_GET['order'].", firstname, lastname";
}else{
$order = "firstname, lastname";
}
}else{
$order = "firstname, lastname";
}
Ved klik på linket sorteres efter 'age':
<a href=\"index.php?page=frontpage&order=age\">Age</a>
Man kan imidlertid bare skrive:
index.php?page=frontpage&order=value
Så sorteres der efter value som brugeren ikke skulle have noget kendskab til...
Hvordan skal den skæres?