我已经在php中编写了一些基本的网站和应用程序,但我之前从未真正改编过任何严格的命名标准,除了我如何命名存储MySQL数据库中的数据的变量,在这种情况下我将它命名为完全相同作为列名(通常类似于a_column_name).
我知道区分"不干净"和"干净"变量非常重要,因此我不会意外地最终允许SQL注入或XSS发生,但我不确定我应该使用什么命名约定.
有什么建议?
我不认为这是正确的做法.
首先,变量可以用各种方式编码,比如sql,urls,html,......你也应该编码尽可能接近消费.即输出前的html编码,传递给mysql之前的sql escape ...
当然在sql的情况下,您应该更喜欢准备语句而不是构建字符串查询.
因此,如果您坚持使用命名约定,则应基于应用于该变量内容的转义/编码,而不是您未清理的内容.
| 归档时间: |
|
| 查看次数: |
606 次 |
| 最近记录: |