这个问题最初是在这里的评论中提出的.
是filter_input()仍然是必要的,如果你正在使用参数化查询,并用htmlspecialchars()打印所有用户提供的数据之前?
对我来说似乎没必要,但我总是被告知"过滤输入,逃避输出".因此,除了数据库(或其他形式的存储)之外,是否还需要过滤输入的数据?
php security
我无法理解存储的xss和反射的xss之间的区别是什么。你能举个例子吗?
xss
php ×1
security ×1
xss ×1