gpt4 book ai didi

php - 转义用户数据,不用魔术引号

转载 作者:可可西里 更新时间:2023-11-01 07:47:56 26 4
gpt4 key购买 nike

我正在研究如何在将来自外部世界的数据用于应用程序控制、存储、逻辑等之前正确地转义数据。

很明显,魔术引号指令很快在 php 5.3.0+ 中被弃用,并在 php6 中被删除,这变得更加紧迫,对于任何希望升级和使用新语言功能,同时维护遗留代码的人来说(不要'我们喜欢它..)。

但是,我没有看到的一件事是关于理论/最佳实践的大量讨论,以及在保护数据后该怎么做——例如,存储时使用或不使用斜杠?我个人认为将转义数据保存在数据库中是一个糟糕的举动,但最好能听到讨论并阅读一些案例研究。

PHP 手册中的一些链接仅供引用:

PHP Manual - mysql_real_escape_string

PHP Manual - htmlspecialchars

等等等等

有什么建议吗?

最佳答案

看看准备好的语句。我知道在 mysql 中这非常有效,并且是一种将数据输入数据库的安全形式。它也有一些性能优势。

http://dev.mysql.com/tech-resources/articles/4.1/prepared-statements.html

如果你有兴趣,我还有一些资源。

希望这就是您要找的,tc。

编辑:

我可以添加的一件事是将过滤器与准备好的语句结合使用。例如,要检查该值是否是一个 sting,您可以使用 FILTER_SANITIZE_STRING,或者对于电子邮件,您可以使用 FILTER_SANITIZE_EMAIL。

这节省了一些代码并且工作得很好。之后您始终可以使用自己的方法检查数据,但您可以使用很多过滤器。

关于php - 转义用户数据,不用魔术引号,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1809658/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com