Я знаю, я знаю, название довольно плохое, но я попытаюсь объяснить, что я имею в виду здесь. Поэтому я прошу своих участников показать свои фотографии. Они загружают его где-то, а затем вставляют URL-адрес своих фотографий на вход, и я сохраняю его в своей базе данных (MYSQL). Затем фотография просматривается на их профилях. Я получаю URL из базы данных и делаю что-то вроде этого: <img src="<?=$photo;?>" height="123px" width="123px">">
где $photo
- URL, взятый из MYSQL. Это абсолютно безопасно? Может кто-нибудь загрузить, например, файл .php и повредить мой сайт? Нужно ли проверять, заканчивается ли URL.gif,.png,.jpg?
Спасибо.
Изменить: Да, конечно, я бы защитил свой сайт от SQL-инъекций и атак XSS. Но есть ли способ повредить мой сайт другим способом?