你如何表示變量在php中“未經過清理”?
[英]How do you signify that a variable is “unsanitized” in php?
問題描述
我已經在php中編寫了一些基本的網站和應用程序,但我之前從未真正改編過任何嚴格的命名標准,除了我如何命名存儲MySQL數據庫中的數據的變量,在這種情況下我將它命名為完全相同作為列名(通常類似於a_column_name)。
我知道區分“不干凈”和“干凈”變量非常重要,因此我不會意外地最終允許SQL注入或XSS發生,但我不確定我應該使用什么命名約定。
有什么建議?
2 個解決方案
解決方案1
5 已采納 2012-02-18 23:02:01
我不認為這是正確的做法。
首先,變量可以用各種方式編碼,比如sql,urls,html,......你也應該編碼盡可能接近消費。 即輸出前的html編碼,傳遞給mysql之前的sql escape ...
當然在sql的情況下,您應該更喜歡准備語句而不是構建字符串查詢。
因此,如果您堅持使用命名約定,則應基於應用於該變量內容的轉義/編碼,而不是您未清理的內容。
解決方案2
2 2012-02-18 23:11:30
你只需要記住逃避價值。
例如,如果您使用mysql存儲字符串。
使用mysql_real_escape_string()
<?php
// Connect
$link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password')
OR die(mysql_error());
// Query
$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
mysql_real_escape_string($user),
mysql_real_escape_string($password));
?>
當你需要在頁面中打印一些值時
使用: htmlspecialchars
<?php
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new; // <a href='test'>Test</a>
?>
應該如何向PHP的調用者表示一個函數接受可變數量的參數?
[英]How should one signify to a caller in PHP that a function accepts a variable number of arguments?
您如何將PHP變量傳遞給內聯javascript函數?
[英]How do you pass in a PHP variable into an inline javascript function?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.