Tom*_*Tom 3 html php xss sql-injection html-entities
在PHP中接受用户输入的编程代码,将其存储在数据库中并使用HTML预标记显示回来的最安全的方法是什么?
我目前将输入转换为HTML实体,但我认为它不会那么容易......
有什么建议?
编程代码只是文本; 如果没有执行,就不会有任何伤害.
这意味着您需要关注:
保护您的数据库免受SQL注入.这可以通过转义输入字符串(mysql_real_escape_string())或使用预准备语句来完成.
保护您的用户免受XSS攻击.这可以通过将代码转换为html实体(即:使用htmlspecialchars())来完成,因此潜在的恶意标记(即:) <script>将转换为文本(例如:) <script>.
| 归档时间: |
|
| 查看次数: |
205 次 |
| 最近记录: |