参见英文答案 > Do htmlspecialchars and mysql_real_escape_string keep my PHP code safe from injection? 6个
我让用户输入一些信息(姓名,出生日期等).然后我必须将这些值插入数据库.我应该使用mysql_real_escape_string()来防止MysqL注入和htmlspecialchars()处理html标签,它们都需要还是其中之一呢?
如果我只使用其中一个,那么哪一个?
如果我应该同时使用两者,那么首先是哪一个,哪一个是最后一个?
解决方法:
Should I use MysqL_real_escape_string to prevent the MysqL injection
No. Use prepared statements and parameterized queries.这将要求您停止使用过时的MysqL_ *库,以支持更现代的东西(如PDO).
and htmlspecialchars to handle the html tags both or one of them can do the work?
使用htmlspecialchars到protect against XSS attacks when,将数据插入到HTML文档中.数据库不是HTML文档. (您可能稍后将数据从数据库中取出以将其放入HTML文档中,这是使用htmlspecialchars的时间).
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
