[英]URL filtering in php, filter_var or htmlentities
第一個顯然是為了這個目的而設計的。
你在防守什么? 漏洞很大程度上取決於數據的使用方式。 它不可能創建一個防止一切的函數調用,混合保護系統(如xss和sql注入)是一個非常糟糕的主意。
對於XSS,您應該使用: htmlspecialchars($var, ENT_QUOTES);
對於mysql中的Sql Injection,你應該使用mysql_real_escape_string($var);
如果要將用戶輸入傳遞給system()
或其他類似函數,則應使用escapeshellarg($var);
這些是前三名,混合這些只會造成問題。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.