gpt4 book ai didi

mysql - 防止mysql注入(inject)和xss攻击

转载 作者:行者123 更新时间:2023-11-29 08:47:25 25 4
gpt4 key购买 nike

我正在寻找一个好的解决方案来防止mysql注入(inject)和xss攻击。我读过很多科目,但对我来说不清楚。

我只想允许一些 bb 代码,例如 [b]、[i]、[u]。仅此而已。

请告诉我这是否可以:

<?php
$escape = array('input_one','input_two','get_ids_from_url','etc');

foreach($escape as $input)
{
if(isset($_POST[$input]))
{$_POST[$input] = mysql_real_escape_string(htmlspecialchars(strip_tags($_POST[$input]), ENT_QUOTES, 'utf-8'));}
if(isset($_GET[$input]))
{$_GET[$input] = mysql_real_escape_string(htmlspecialchars(strip_tags($_GET[$input]), ENT_QUOTES, 'utf-8'));}
}
?>

最佳答案

您在这里所做的是将输入转义以用于两种不同的用途:HTML 和 MySQL。不要那样做;由于某种原因,魔术引号被删除。

您应该做的是转义实际使用变量的位置,并且在数据库访问的情况下,使用 PDO 或 MySQLi 而不是几乎已弃用且通常很糟糕的 mysql_ 系列函数.

关于mysql - 防止mysql注入(inject)和xss攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12207440/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com