wai*_*933 7 php security mysql-real-escape-string addslashes
我一直在阅读有关保护PHP应用程序的一些内容,在我看来,这mysqli_real_escape_string是在将数据插入MySQL表时使用的正确函数,因为这addslashes可能会导致智能攻击者发生一些奇怪的事情.对?
但是,有一件事令我感到困惑.我似乎记得被告知addslashes比将htmlentities用户输入的数据回复给用户以保护他们的数据更好,但似乎addslashes是有漏洞的人.这是真的,还是我记错了?
Que*_*tin 12
它们是用于不同目的的不同工具.
mysqli_real_escape_string使数据安全插入MySQL(但参数化查询更好).
Htmlentities使数据安全输出到HTML文档中
addslashes使数据在其他一些情况下是安全的,但对MySQL来说是不够的
您的数据有不同的上下文.将数据插入数据库的上下文需要以与呈现html/xml甚至电子邮件消息的上下文不同的方式进行转义.
应该在所有新代码中弃用转发到数据库中的数据,以支持预准备语句.任何告诉你的人都会对你造成极大的伤害.
转发到浏览器的数据需要根据目标以多种不同的方式进行转义.有时htmlspecialchars就足够了,有时你需要使用htmlentities.有时您需要数字实体.这是一个你应该做一些研究的主题,以了解所有的细微差别.
我所遵循的一般规则是验证(不过滤,拒绝,如果不正确)输入和转义输出(基于上下文).