我在这里阅读了很多关于过滤用户输入的问答,但大多数时候答案是它取决于你正在做什么.这是我正在做的事情:
function clean($field,$link)
{
return MysqL_real_escape_string($field,$link);
}
通过表格提交的数据将显示在HTML / PHP页面或电子邮件中:
function output_html($value)
{
return stripslashes(htmlspecialchars($value));
}
function output_db($value)
{
return stripslashes($value);
}
这是否足以满足我的需求?有什么我不考虑的吗?
谢谢!
最佳答案
在将字符串插入SQL查询时,无论输入来自何处,都使用MysqL_real_escape_string().
将字符串插入HTML代码时,都使用htmlspecialchars()或htmlentities().
将值插入URL的查询字符串时,请使用urlencode(),无论值来自何处.
如果这些数据来自用户,那么你肯定应该做这些事情,因为用户有可能尝试做坏事.但是除了安全性之外 – 如果你想将一个合法的字符串插入一个SQL查询并且该字符串碰巧只有一个单引号字符怎么办?你仍然必须逃脱它.
原文地址:https://www.jb51.cc/html/426697.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
