注释系统:安全插入数据库和从数据库读取

Question

可能重复:
如何防止SQL注入？

我正在我的网站上建立一个评论系统,我想知道这是否保存.我使用PHP和MySQL. - 不要使用下面的代码,这是非常不安全的 -

创建新评论:

1. 用户写入$ comment,提交它
2. $ comment = addslashes($ comment);
3. 在MySQL数据库中插入$ comment

阅读评论:

1. 用户请求评论,数据库发送$评论
2. $ comment = htmlspecialchars(stripslashes($ comment));
3. echo $ comment;

系统应该安全,不受HTML操作和MySQL注入的影响.还有我不知道的所有其他讨厌的东西.我做得对吗？

奖金问题:我应该在我的MySQL表格中使用什么排序规则进行$注释？

编辑:哇我不认为我的问题会导致这个大讨论.谢谢你的所有答案:)

Answer 1

考虑从一开始就切换到准备好的语句:-)

它们现在可能看起来有点过头了,但是你可以安全地担心逃避它所支付的每一个参数.

这是一个很好的教程:http://www.kitebird.com/articles/php-pdo.html.

在打印出用户定义的内容时,您仍然需要使用htmlspecialchars来计算XSS的不可用性.