[英]PHP $_GET security, $_POST security best practice
這是一個很好的主題,但我想在幾種不同的情況下對使用來自用戶變量的數據的方法進行一些確認。
該變量從不在數據庫中使用,從不存儲,僅在用戶屏幕上顯示。 使用哪個函數來確保沒有 html 或 javascript 可以搞砸?
該變量被引入數據庫,並在 SQL 查詢中使用。
變量兩者兼而有之。
目前我是xss_clean,和strip_tags。 我一直這樣做,只是通過自動駕駛儀。 有沒有更好的技術? 如果有相同的問題,請見諒。 我有點假設有,雖然我找不到像這樣徹底的。
干杯。
htmlspecialchars
PHP 世界中最糟糕的錯覺之一是$_GET
或$_POST
與安全性有關。
$_POST
、SOAP 請求還是數據庫。 它必須始終相同:數據的占位符,其他所有內容的白名單。$_POST
、SOAP 請求還是數據庫。參考:
http://php.net/manual/en/function.htmlspecialchars.php
http://php.net/manual/en/function.mysql-real-escape-string.php
$id="1;drop table users;"; $id=mysql_real_escape_string($id); $sql="SELECT * FROM table
WHERE id=$id";
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.