除了利用表单域的保护较弱这一漏洞，SQL注入攻击含依赖于approved列恰好位于数据库结构中screenshot列的后面。正是由于这一点，只要在INSERT的最后增加1，就能将这个1设置到approved列。这里的问题在于构建INSERT查询所采用的做法是必须向所有列插入数据，而这增加了不必要的风险。可以将INSERT查询编写为准确地指定哪些值要放在哪些列中。

在表中插入数据时，数据的顺序必须与表结构中列的顺序完全一致。所以数据汇进入列中，不过实际上没有必要显式地插入ID，因为ID是自增的，而approved初始时总是0，更好的办法是只插入新数据明确需要的数据。ID和approved列则可以分别默认为auto_increment和0。