可能重复:
在PHP中阻止SQL注入的最佳方法
在我的网站上,我有一些用户有时必须保存在数据库中的HTML内容.这样做的安全方法是什么(我不希望我的数据库处于危险之中,或者以后会从数据库中调用该代码的用户).
所以我读到的是:
使用ヶ辆将数据保存在数据库中,并html_entity_decode将数据从数据库中进行解码.这样安全吗,还是我应该用别的东西?
如果您正在使用字符串转义和/或预处理语句,则HTML标记不会对您的数据库造成任何损害.当您向用户显示HTML标记时会出现危险,就好像有人将恶意HTML注入您要显示的标记,然后您手上就会受到XSS攻击.
如果你没有逃避或使用准备好的陈述,那么几乎所有来自外部的数据都是危险的.