那些遇到过的问题

这是一种安全/强大的输入消毒功能吗?

MrV*_*mes 2 php mysql sanitization

这是我最近从中学到的一本书中使用的消毒函数--Sams Teach Yourself Ajax,JavaScript和PHP All in One.

我一直在自己的PHP网站上使用它.对于现实世界的使用是否安全?

function sanitizestring($var)
{
  $var = strip_tags($var);
  $var = htmlentities($var);
  $var = stripslashes($var);
  return mysql_real_escape_string($var);
}
Run Code Online (Sandbox Code Playgroud)

ale*_*lex 8

我会说这太笼统了.对于很多用途来说它可能是安全的,但它通常会给字符串带来不必要的副作用.并非每个字符串都应该像那样进行转义.

  • mysql_real_escape_string()应该只在SQL查询中使用.更好的是,用PDO绑定params.
  • 在插入数据库之前,为什么要覆盖条带标签和编码实体?也许在出路的时候做.
  • 对于XSS预防,htmlspecialchars()更多的是你的朋友.将字符集作为参数赋予它.

所以我会mysql_real_escape_string()用于查询,并htmlspecialchars()用于回显用户提交的字符串.还有很多要知道的.做一些进一步的阅读.

归档时间:

查看次数:

243 次

最近记录:

15 年,3 月 前
在圣经中清理输入和输出的圣杯? 3
更多相关链接
相关归档
如何避免mysql'试图锁定时发现死锁; 尝试重启事务' 261
安装MySQL-python 66
如何更改MySQL中的自动增量计数器? 30
使用SqlDataAdapter插入一行 25
基于IP地址的地理位置 - PHP 21
PHP深度扩展阵列 20
转义字符串以用于正则表达式 19
如何在Mysql中将人类日期转换为unix时间戳? 19
MySql alter table挂起 13
如何使用insert语句将数百万个不同RDBMS的数据插入到SQL Server数据库中? 11
难疑归档
如何有效地迭代Java Map中的每个条目? 3113
如何检查Bash中是否设置了变量? 1417
Node.js module.exports的目的是什么,你如何使用它? 1397
[Flags]枚举属性在C#中意味着什么? 1383
插入...值(SELECT ... FROM ...) 1340
如何列出使用ATTACH打开的SQLite数据库文件中的表? 1151
如何初始化静态地图? 1084
用PHP清理用户输入的最佳方法是什么? 1069
在jQuery中删除事件处理程序的最佳方法? 1038
如何删除选择框的所有选项,然后添加一个选项并使用jQuery选择它? 1028