Ebe*_*aac -1 html javascript validation
服务器端编程语言具有防止SQL注入的解决方法,
例如:
mysql_real_escape_string("sql query here");
假设html返回的所有引号都是\'或\“而不是'或”,
即使未使用服务器端语言,JavaScript也将\'打印为'。
由此还会引起什么其他问题?
' 如果尝试将其插入SQL查询,则具有特殊含义。
' 如果您尝试将其插入到HTML元素中,则没有特殊含义(并且如果您提交don't并期望结果为,<span>don't</span>那么您就不想<span>don\'t</span>回来了!)
浏览器无法知道将数据发送到服务器后将如何处理。它只是使用标准的编码发送enctype属性指定的数据。
只有针对注入特定环境的数据进行适当的处理,才能可靠地防止XSS,SQL注入和其他类型的攻击。
| 归档时间: |
|
| 查看次数: |
66 次 |
| 最近记录: |