簡體 English 中英

php，filter_var或htmlentities中的URL過濾

[英]URL filtering in php, filter_var or htmlentities

原文 2010-07-06 17:06:39 0 2 php/ security

對於安全的URL查詢，什么更安全？ filter_var（$ string，FILTER_SANITIZE_SPECIAL_CHARS）或htmlentities ？

第一個顯然是為了這個目的而設計的。

你在防守什么？ 漏洞很大程度上取決於數據的使用方式。 它不可能創建一個防止一切的函數調用，混合保護系統（如xss和sql注入）是一個非常糟糕的主意。

對於XSS，您應該使用： htmlspecialchars($var, ENT_QUOTES);

對於mysql中的Sql Injection，你應該使用mysql_real_escape_string($var);

如果要將用戶輸入傳遞給system()或其他類似函數，則應使用escapeshellarg($var);

這些是前三名，混合這些只會造成問題。

在PHP中將filter_var與htmlentities一起使用會很好嗎？

[英]Is it good to use filter_var with htmlentities in PHP?

[英]PHP filter_var URL

[英]filter_var vs htmlentities vs htmlspecialchars

[英]PHP filter_var() - FILTER_VALIDATE_URL

[英]Why does filter_var() encode quotes differently than htmlentities()?

[英]filter_var in php 5.3.8

[英]Php filter_var function

[英]filter_var php question

[英]PHP - Filter_var alternative?

[英]PHP filter_var bug?

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 在PHP中將filter_var與htmlentities一起使用會很好嗎？ PHP filter_var URL filter_var vs htmlentities vs htmlspecialchars PHP filter_var（） - FILTER_VALIDATE_URL 為什么 filter_var() 對引號的編碼與 htmlentities() 不同？在php 5.3.8中的filter_var Php filter_var function PHP的filter_var問題 PHP - Filter_var替代？ PHP filter_var錯誤？

相關標簽