gpt4 book ai didi

php - 一个不错的转义函数 $_POST//你怎么看

转载 作者:行者123 更新时间:2023-11-30 23:55:40 26 4
gpt4 key购买 nike

我正在使用 $_POST 并了解 mysql 漏洞,我决定在我的页面顶部使用此功能,因此所有 POST 都是安全的:如果我错过了什么,你能告诉我这个功能真的能像我想的那样完成工作吗?

function clean_post(){
if ( $_POST){
foreach ($_POST as $k => $v) {
$_POST[$k]=stripslashes($v);
$_POST[$k]=mysql_real_escape_string($v);
$_POST[$k]=preg_replace('/<.*>/', "", "$v");
}
}

if ( $_COOKIE){
foreach ($_COOKIE as $k => $v) {
$_COOKIE[$k]=stripslashes($v);
$_COOKIE[$k]=mysql_real_escape_string($v);
$_COOKIE[$k]=preg_replace('/<.*>/', "", "$v");
}
}
}

它还会删除所有 html 标签,输出结果的最安全选项可能是使用:

<pre>
$foo
</pre>

干杯!

干杯!

最佳答案

我认为这样做是个坏主意。它会破坏您的用户输入的数据,甚至在它到达数据库之前。这种方法还会鼓励您使用惰性编码,因为您认为所有数据都已经“干净”了,所以您始终不会对数据进行转义。有一天当你确实需要输出一些不安全的字符并且你要么忘记转义它们,要么你不确定你需要调用哪个函数时,这会回来咬你,所以你只是尝试一些并希望它有效。

要正确执行此操作,您应该确保 magic quotes已禁用,仅在必要时使用正确的转义方法转义数据 - 不多也不少。

关于php - 一个不错的转义函数 $_POST//你怎么看,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4741723/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com