这是我最近从-
Sams Teach Yourself Ajax,JavaScript,and PHP All in One学到的一本书中使用的消毒功能.
我一直在自己的PHP网站上使用它.对于现实世界的使用是否安全?
function sanitizestring($var)
{
$var = strip_tags($var);
$var = htmlentities($var);
$var = stripslashes($var);
return MysqL_real_escape_string($var);
}
我会说这太笼统了.对于很多用途来说它可能是安全的,但它通常会给字符串带来不必要的副作用.并非每个字符串都应该像那样进行转义.
> MysqL_real_escape_string()只能在SQL查询中使用.更好的是,将params与PDO绑定.
>在插入数据库之前,为什么要覆盖条带标签和编码实体?也许在出路的时候做.
>对于XSS预防,htmlspecialchars()更像是你的朋友.将字符集作为参数赋予它.
所以我会使用MysqL_real_escape_string()进行查询,使用htmlspecialchars()来回显用户提交的字符串.还有很多要知道的.做一些further reading.
原文地址:https://www.jb51.cc/php/138825.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
