JRO*_*ROB 2 php mysql code-injection html-entities
我有一个textarea,其值将被插入到mysql数据库中.为了防止mysql注入,我是通过nl2br,mysql_real_escape_string,htmlentities还是2或全部3的组合处理输入?我以什么顺序处理数据?
nl2br基本上将所有转换"\n"为"<br/>",所以我看不出它如何帮助sql注入(不是mysql注入顺便说一句)
mysql_real_escape_string 通常用于这种事情.
htmlentities用于防止用户<script>在允许用户输入的情况下将恶意注入您的网站的错误.请注意,按字母顺序存储字符串通常是一种公认的做法,只有htmlentities在输出字符串时才会调用
你需要知道上面的每一个做什么,并且只在你需要的时候使用它们,而不是将它们结合起来,因为它们可能会破坏更糟糕的东西.
保护数据库的另一个更好,更安全的替代方法是使用mysqli http://sg.php.net/mysqli,它提供准备好的语句来帮助您过滤掉您的SQL