[英]Keep javascript from being entered into a form or saved into database
如何避免將javascript和php代碼輸入表單或保存到數據庫中? 我仍在了解客戶端/服務器端的安全性,這似乎是我需要解決的問題:p我可以在php端這樣做嗎?
使用php將數據庫插入數據庫時,可以使用strip_tags()函數。
例如:
$query="INSERT INTO `DB` (`id`,`data`)
VALUES (".$id.",".mysql_real_escape_string(strip_tags($data)).");";
$mysql_query($query) or die(mysql_error().'<br/><pre>'.$query.'</pre>');//Debug only
strip_tags函數將從傳遞的變量中剝離所有html標記,包括標記<script>,因此不會傳遞任何JavaScript。 http://php.net/manual/zh/function.strip-tags.php
編輯:
添加了mysql_real_escape_string()
Blockquote我可以在php端這樣做嗎?
您必須-永遠(永遠!)通過Javascript信任傳入的數據或客戶端安全檢查。 Javascript可以保護某些內容並減輕服務器的工作量,但是當繞過或禁用它時,它是無用的。
使用您選擇的Internet搜索引擎,查找並了解有關SQL注入 / 跨站點腳本(XSS)的更多信息 。
OctoberCMS:如何防止將表單文件保存到數據庫中?
[英]OctoberCMS: How to prevent a form filed from being saved into database?
阻止將更改保存到托管演示項目中的sqlite數據庫中?
[英]Prevent changes from being saved to sqlite database in a hosted demo project?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.