T9b*_*T9b 1 php mysql validation sanitization escaping
我只是发现PHPs清理和验证过滤器,我一直在使用MySQL的mysql_escape_string来停止SQL注入.
现在我发现PHP也可以提供帮助,我猜逻辑上这些程序在它们的功能中并不是唯一的:即你可以在PHP中进行清理和验证,并且仍然需要进行转义.
我是对的还是我忽略了什么?
我是对的还是我忽略了什么?
不,你是完全正确的.休闲读者的大字体传入可能会以某种方式忽略您的问题.
核对可能是HTML的东西,你会对XSS更安全.正确引用和转义数据库输入,您将对SQL注入更安全.关注意外输入无处不在,你会增加你的代码的安全性.
你现在完全意识到这一点是一件很棒的事情.太多人没有.
我只是发现PHPs清理和验证过滤器
这些都很好,不是吗?它们是现代PHP的一个很好的组成部分.虔诚地使用它们,它们不会让你失望.除了电子邮件之外,它失败了大量的边缘情况; 我更喜欢is_email.
我一直在使用MySQL的mysql_escape_string来停止SQL注入.
这是......不是现代PHP的一个很好的部分.我也希望你使用带有"真实"一词的转义字符串函数,否则你可能会遇到麻烦.
我认为您已为下一步做好准备:学习PDO.它准备了语句和查询占位符,当您正确使用它时,它将为您提供免费和完整的SQL注入保护.PDO可用于现代PHP版本的任何地方.它是内置的.使用它,学习它,喜欢它.否则你注定要失败.注定!