如果我使用以下内容，是否正式使用表单验证？

Question

我知道无论如何添加它都没有害处，但我很好奇......

如果我要使用htmlentities（）; 使用ENT_QUOTES然后使用mysql_real_escape_string（）; 在将变量输入数据库之前的变量，然后只需使用html_entity_decode（）; 与stripslashes（）; 显示信息......

这仍然是安全的吗？

Answer 1

在将数据存储到数据库之前，您不需要使用htmlentities。 事实上，如果你不这样做，它会让事情变得更容易。 在HTML输出中回显它们时，只对字符串使用htmlentities（无论是从数据库还是从其他来源获取字符串）。

从数据库中获取数据后，您不需要对数据应用stripslashes。 数据库没有存储额外的转义字符 - 除非您错误地应用了双重转义。

这是正确的顺序：

1. 从表单中获取数据

    $input = $_GET["input"]; 

2. 申请逃脱一次 。

    $quoted_input = "'" . mysql_real_escape_string($input) . "'"; 

3. 将其插入数据库

    $sql = "INSERT INTO MyTable (column1) VALUES ($quoted_input)"; $success = mysql_query($sql); 

4. 稍后从数据库中获取它

    $sql = "SELECT column1 FROM MyTable"; $result = mysql_query($sql); $row = mysql_fetch_assoc($result); $data = $row["column1"]; 

5. 输出时应用htmlentities 一次 。

    echo htmlentities($data); 

Answer 2

如果您知道这些函数的用途，您可以自己回答这个问题：

• htmlentities是替换HTML特殊字符& ， < ， >和"和可以由实体字符引用表示的字符 。这用于编码数据，以便在任何HTML上下文中安全地输出（特别是使用ENT_QUOTES，以便它甚至可以在单引号属性值中使用。）例如：

   <textarea><?php echo htmlentities('</textarea>'); ?></textarea> 

• mysql_real_escape_string用于替换MySQL字符串中的特殊字符，同时考虑连接字符编码（需要使用mysql_client_encoding ）。 这用于编码要在MySQL字符串中安全使用的数据。 例如：

   $query = 'SELECT "'.mysql_real_escape_string("\\n\\r\\t\\v\\f\\\\\\"").'"'; 

• html_entity_decode是htmlentities的反函数，并替换HTML字符引用（数字和实体字符引用）。

• stripslashes删除了转义字符\\ 。

如果您只想保护自己免受SQL注入，请将mysql_real_escape_string用于MySQL查询中使用的数据。 您还可以使用预准备语句或参数化查询构建器（请参阅准备语句的SQL语法 ， PDO - 准备语句和存储过程 ， MySQLi :: prepare等）。

Answer 3

你问的是你是否还需要正则表达式作为所有这些功能旁边的表单验证？

如果这就是你所要求的那么在我看来是的，你永远不够安全。 我刚刚编写了一个验证类，其函数可以在需要特定输入时使用正则表达式清理代码和其他函数。