表单验证的必要性

要最小化SQL注入攻击的风险，最后一步需要在PHP脚本中加入表单验证。查看截屏图文件类型或截屏图文件大小是否在应用定义的限制范围内之前，需要检查表单域来确保它们非空。我们编程的时候代码本身没有任何问题，不过要保证一个应用的安全，这样一个调用通常远远不够。由于表单域需要一个数字，所以合理的做法是不只是检查值非空，还要检查这是一个数字值。

PHP  is_numeric()函数就可以完成这个工作，如果传入的值是一个数字则返回true，否则返回false。坚持一贯地做这种小工作，比如需要一个数字时就检查它是否是一个数字，最后会让你的应用尽可能安全而免受数据攻击。

PHP脚本中将表单数据赋值到变量，需要对这些赋值进行调整，使用trim()和mysqli_real_escape_string()函数清理表单数据。然后修改INSERT查询，同时指定列名和值，而不再需要为ID和approved列提供值。另外修改验证表单域的if语句，检查数据确保它们确实是数字值。最后，使用MySQL工具运行ALTER查询将approved列默认设置为0。将这个新的脚本上传到你的web服务器，在web浏览器中导航到这个脚本，就会避免SQL注入攻击。