我正在对一个相当大的php应用程序进行安全审计,并想知道我应该在哪里包含我的用户输入验证.
我应该验证数据,然后将干净的数据发送到后端函数,还是应该依靠每个函数来进行自己的验证?甚至两个?
这种事情有没有标准或最佳实践?
目前,该应用程序不一致,我想让事情更加一致.
两者之间有什么区别,在速度/性能方面?
$sql = "SELECT * "
. "FROM `myTable` "
. "WHERE `id` = 4";
$sql = "SELECT *
FROM `myTable`
WHERE `id` = 4";
我想替换F而不是\ F.
我试过以下代码,没有任何运气.
preg_replace("/[^\\]F/", "f", $str);