gpt4 book ai didi

PHP MySQL - 清理和验证建议

转载 作者:行者123 更新时间:2023-11-29 04:29:29 24 4
gpt4 key购买 nike

我刚刚发现 PHP 清理和验证过滤器,并且我一直在使用 MySQL 的 mysql_escape_string 来阻止 SQL 注入(inject)。

现在我发现 PHP 也可以提供帮助,并且我想从逻辑上讲,这些过程在其功能上并不是排他性的:即您可以在 PHP 中进行清理和验证,并且仍然会遇到需要转义的情况。

我是对的还是我忽略了什么?

最佳答案

Am I right or am I overlooking something?

不,你说得完全正确。大字体传入给那些可能会以某种方式错过您问题要点的临时读者。

不同类型的输出需要不同类型的保护。

消除可能是 HTML 的内容,这样您就可以更安全地抵御 XSS。正确引用并转义您的数据库输入,您将更安全地抵御 SQL 注入(inject)。留意各处的意外输入,您将提高代码的安全性。

您现在完全意识到这一点,真是一件美妙的事情。太多人

I'm just discovering PHPs sanitize and Validate filters

这些很不错,不是吗?它们是现代 PHP 的重要组成部分。虔诚地使用它们,它们不会让你失望。除了电子邮件之外,它未能解决大量边缘案例;我更喜欢is_email .

I had been using MySQL's mysql_escape_string to stop SQL Injection.

这……不是现代 PHP 的一个很好的部分。我还希望您使用包含“real”一词的转义字符串函数,否则您可能会遇到麻烦。

我认为您已准备好进行下一步:Learn PDO 。它有prepared statements and query placeholders ,如果您正确使用它,它将为您提供免费且完整的 SQL 注入(inject)保护。 PDO 可以在任何有现代 PHP 版本的地方使用。它是内置的。使用它、学习它、喜欢它。否则你就注定失败。注定失败!

关于PHP MySQL - 清理和验证建议,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5358927/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com