- r - 以节省内存的方式增长 data.frame
- ruby-on-rails - ruby/ruby on rails 内存泄漏检测
- android - 无法解析导入android.support.v7.app
- UNIX 域套接字与共享内存(映射文件)
这个问题最初是在评论中提出的 here .
是filter_input()如果您使用参数化查询和 htmlspecialchars() 仍然是必需的在打印任何用户提供的数据之前?
这对我来说似乎没有必要,但我总是被告知“过滤输入,转义输出”。那么,除了数据库(或其他形式的存储)之外,是否需要过滤输入的数据?
最佳答案
好吧,会有不同的意见。
我的看法是您应该始终使用它(或者,通常使用 filter
扩展)。至少有 3 个原因:
清理输入是您应该经常做的事情。由于该函数为您提供了此功能,因此实际上没有理由寻找其他方法来清理输入。由于它是一个扩展,因此过滤器也将比现有的大多数 PHP 解决方案更快并且很可能更安全,这当然不会造成伤害。唯一的异常(exception)是如果您需要更专业的过滤器。即使那样,您也应该使用 FILTER_UNSAFE_RAW
过滤器获取值(请参阅 #3)。
filter
扩展中有很多好东西。它可以节省您编写清理和验证代码的时间。当然,它并没有涵盖所有的案例,但已经足够让您可以更专注于特定的过滤/验证代码。
在调试/审核代码时使用该函数非常有用。使用该函数时,您确切地知道输入是什么。例如,如果您使用 FILTER_SANITIZE_NUMBER_INT
过滤器,那么您可以确定输入将是一个数字——没有 SQL 注入(inject),没有 HTML 或 Javascript 代码等。另一方面,如果您,使用像 FILTER_UNSAFE_RAW
这样的东西,那么你就知道应该小心对待它,并且它很容易导致安全问题。
关于php - 何时使用 filter_input(),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15102796/
谁能解释一下,为什么我会收到非常奇怪的警告: filter_input() expects parameter 1 to be long, string given 当执行代码时,那是我类(class
这个问题最初是在评论中提出的 here . 是filter_input()如果您使用参数化查询和 htmlspecialchars() 仍然是必需的在打印任何用户提供的数据之前? 这对我来说似乎没有必
是否有一些等同于 filter_input 的东西,我可以像使用 $_POST 一样使用 $_SESSION? 当我尝试时,它给出了错误: 警告:filter_input():INPUT_SESSIO
我有这段代码: $range = array ( 'options' => array ( 'min_range' => 0, 'max_range' => 1
如何向 filter_input 添加选项和标志? PHP 文档说要使用关联数组,但没有给出任何有关正确语法的示例。我尝试过各种格式,包括以下格式: $textOpts = filter_input(
在使用 filter_input 时,我无法拉入 POST 数组变量。 POST 输入: type => 'container', action =>
这应该是一个基本问题,但为什么使用这样的东西更好: $pwd = filter_input(INPUT_POST, 'pwd'); 不仅仅是: $pwd = $_POST['pwd']; PS:我知道
在使用 filter_input 时,我无法拉入 POST 数组变量。 POST 输入: type => 'container', action =>
我创建了一个小的 PHP 脚本,它在带有 PHP 5.2.17 和 magic_quotes_gpc 的服务器上运行。指令启用。 我没有对 php.ini 文件的写访问权限,我想从用户输入中删除所有斜
我不知道何时使用它们中的每一个。 $name = mysqli_real_escape_string($connection, $_POST['name']); 或 $name = filter_in
我尝试了 PHP 的内置函数:filter_input() var_dump(filter_var('john.doe.@gmail.com', FILTER_VALIDATE_EMAIL)); 输出
我传统上使用 filter_var() 函数来清理 $_GET 和 $_POST 数据,例如: $foo = filter_var($_GET['foo'], FILTER_SANITIZE_NU
为什么这不起作用: if(!($data['email'] = filter_var(INPUT_POST,'email',FILTER_SANITIZE_EMAIL))) { $errors
在验证用户输入时使用这两个函数之一有什么区别?例如,严格针对函数调用,无需更改 $_POST 数组。 $result = filter_var($_POST['user_input'], FILTER
我从不同的博客中发现,强烈建议使用 htmlspecialchars() 在屏幕上输出任何数据,以免受 XSS 攻击。 我正在使用 filter_input() 在插入到 database 之前过滤来
我正在尝试修改这一行。 原来是 $cmd = $_REQUEST["cmd"]; 然后,我通过阅读这篇文章a link 更改为这个在 Stackoverflow。 $cmd = filter_inpu
为什么此行在我的实时服务器中返回 null? filter_input(INPUT_SERVER, 'REQUEST_METHOD'); 实时服务器是php5.5.9 我错过了什么吗? 我以为是用来替
我想确保在 MySQL 查询中使用 int 值之前已清理并验证该值。 这个项目不使用准备好的语句,因为我意识到这是最好的选择,所以我特别询问关于转换 int、intval() 和 filter_inp
这个问题在这里已经有了答案: How to read if a checkbox is checked in PHP? (21 个答案) 关闭 6 年前。 我的 HTML 代码如下:
我在表单中使用 get 方法,以便将复选框状态信息存储到数组中 我尝试使用 filter_input 行按顺序从每个复选框中获取信息并将其存储到一个数组中,当用 $_get 代替时一切正常,但我被告知
我是一名优秀的程序员,十分优秀!