php - 清理 PHP/SQL $_POST、$

php - 清理 PHP/SQL $_POST、$_GET 等...？

转载作者：行者123 更新时间：2023-12-04 21:18:25

25

4

好的，这个主题是一个温床我明白了。我也明白这种情况取决于您使用的代码。我有三种情况需要解决。

我有一个表格，我们需要允许人们使用逗号、波浪号等发表评论和声明...但仍能免受攻击。
我有人输入这样的日期:10/13/11 mm/dd/yy(英文)，这个可以清理吗？
我如何理解如何正确使用 htmlspecialchars()、htmlentities() 和 real_escape_string()？我已经阅读了 php.net 网站和此处的一些帖子，但在我看来，这完全取决于阅读问题的人的情况，正确答案是什么。

我真的不能接受......必须有一个答案，其中类似于我在这里发布的文本格式可以被清理。我想知道这是否可能以及如何可能。

谢谢...因为在我看来，当在其他地方问这个问题时，它往往会惹恼...我正在学习我需要知道的东西，但我认为我已经达到了我可以知道的稳定状态它的用途示例...

提前致谢。

最佳答案

这是一个非常重要的问题，它实际上以编码的形式有一个简单的答案。您面临的问题是您同时使用多种语言。首先是 HTML，然后是 PHP，几秒钟后是 SQL。所有这些语言都有自己的语法规则。

要记住的是:字符串应该始终采用正确的编码。

举个例子。您有一个 HTML 表单，用户在其中输入以下字符串:

I really <3 dogs & cats ;')

按下提交按钮后，该字符串将发送到您的 PHP 脚本。让我们假设这是通过 GET 完成的。它被附加到 URL，它有自己的语法(例如 & 字符有特殊含义)所以我们正在改变语言。这意味着必须将字符串转换为正确的 URL 编码。在这种情况下，浏览器会执行此操作，但 PHP 也有一个 urlencode。的功能。

在PHP脚本中，字符串存储在$_GET中, 编码为 PHP 字符串。只要您编写的是 PHP，就完全可以。但现在让我们将字符串放入 SQL 查询中。我们更改了语言和语法规则，因此字符串必须通过 mysql_real_escape_string 编码为 SQL功能。

在另一端，我们可能希望再次向用户显示字符串。我们从数据库中检索字符串并将其作为 PHP 字符串返回给我们。当我们想将它嵌入到 HTML 中进行输出时，我们又要更改语言了，因此我们必须通过 htmlspecialchars 将我们的字符串编码为 HTML。功能。

在整个过程中，字符串始终采用正确的编码，这意味着用户可以想出的任何字符都将得到相应的处理。一切都应该平稳安全地运行。

要避免的事情(有时无知的人甚至会推荐这样做)是过早地编码您的字符串。例如，您可以申请 htmlspecialchars到字符串 before 将其放入数据库。这样，当您稍后从数据库中检索字符串时，您可以毫无问题地将它粘贴到 HTML 中。听起来不错？是的，真的很棒，直到你开始收到人们的支持票，他们想知道为什么他们的 PDF 收据充满了 & >垃圾。

在代码中:

表单.html:

<form action="post.php" method="get">
    <textarea name="comment">
        I really <3 dogs &amp; cats ;')
    </textarea>
    <input type="submit"/>
</form>

它生成的 URL:

http://www.example.org/form.php?comment=I%20really%20%3C3%20dogs%20&amp;%20cats%20;')

post.php:

// Connect to database, etc....

// Place the new comment in the database
$comment = $_GET['comment']; // Comment is encoded as PHP string

// Using $comment in a SQL query, need to encode the string to SQL first!
$query = "INSERT INTO posts SET comment='". mysql_real_escape_string($comment) ."'";
mysql_query($query);

// Get list of comments from the database
$query = "SELECT comment FROM posts";

print '<html><body><h2>Posts</h2>';
print '<table>';

while($post = mysql_fetch_assoc($query)) {
    // Going from PHP string to HTML, need to encode!
    print '<tr><td>'. htmlspecialchars($post['comment']) .'</td></tr>';
}

print '</table>';
print '</body></html>'

关于php - 清理 PHP/SQL $_POST、$_GET 等...？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/8404501/

25

4

0

文章推荐： asp.net-mvc - 如何首先使用实体框架代码部署到生产环境

文章推荐： css - 如何使绝对子宽度独立于相对父宽度？

php - 输出 PHP 分隔符 ()，PHP 不解释分隔符
我在 JavaScript 文件中运行 PHP，例如...... var = '';). 我需要使用 JavaScript 来扫描字符串中的 PHP 定界符(打开和关闭 PHP 的 )。我已经知道使
php - PHP 是否具有确定与给定 PHP 脚本兼容的最旧 PHP 版本的内置方法？还是会永远？
我希望能够做这样的事情: php --determine-oldest-supported-php-version test.php 并得到这个输出: 7.2 也就是说，php 二进制检查 test.
php - 在没有 php 框架的情况下将 php 框架用于现有的 php 应用程序是个好主意吗？
我正在开发一个目前不使用任何框架的大型 php 站点。我的大问题是，随着时间的推移慢慢尝试将框架融入应用程序是否可取，例如在创建的新部件和更新的旧部件中？比如所有的页面都是直接通过url服务的，有几
php - 如何在同一 php 页面上的其他 php 脚本中使用 php 变量
下面是我的源代码，我想在同一页面顶部的另一个 php 脚本中使用位于底部 php 脚本的变量 $r1。我需要一个简单的解决方案来解决这个问题。我想在代码中存在的更新查询中使用该变量。 $name)
php - PHP 重定向后 PHP 是否继续执行？
我正在制作一个网站，根据不同的情况进行大量 PHP 重定向。就像这样...... header("Location: somesite.com/redirectedpage.php"); 为了安全起见
php - 如何避免在 php 文件中写入
我有一个旧网站，我的 php 标签从因为短标签已经显示出安全问题，并且在未来的版本中将不被支持。关于php - 如何避免在 php 文件中写入

php - 需要建议通过 php 编辑 php
我有一个用 PHP 编写的配置文件，如下所示，所以我想用PHP开发一个接口(interface)，它可以编辑文件值，如$WEBPATH , $ACCOUNTPATH和 const值(value)观
php - 无法发布 “PHP file” PHP
我试图制作一个登录页面来学习基本的PHP，首先我希望我的独立PHP文件存储HTML文件的输入(带有表单)，但是当我按下按钮时(触发POST到PHP脚本) )我一直收到令人不愉快的错误。我已经搜索了S
php - PHP 是否有生成有效 PHP 表达式的打印函数？
我正在寻找一种让 PHP 以一种形式打印任意数组的方法，我可以将该数组作为赋值包含在我的(测试)代码中。 print_r 产生例如: Array ( [0] => qsr-part:1285 [1]
php - PHP 数组键有大小限制吗？ PHP 数组一般有哪些限制？
这个问题已经有答案了: 已关闭11 年前。 Possible Duplicate: What is the max key size for an array in PHP? 正如标题所说，我想知道
php - PHP 是否有生成有效 PHP 表达式的打印函数？
我正在寻找一种让 PHP 以一种形式打印任意数组的方法，我可以将该数组作为赋值包含在我的(测试)代码中。 print_r 产生例如: Array ( [0] => qsr-part:1285 [1]
php - 让函数在 php 刷新时执行 (PHP)
关闭。这个问题需要多问focused 。目前不接受答案。想要改进此问题吗？更新问题，使其仅关注一个问题 editing this post . 已关闭 9 年前。 Improve this ques
php - 按时间段显示菜单 PHP PHP MySQL
我在 MySQL 数据库中有一个表，其中存储餐厅在每个工作日和时段提供的菜单。表结构如下: i_type i_name i_cost i_day i_start i_
php - 将参数发送到嵌套在 PHP 页面内的动态 PHP
我有两页。 test1.php 和 test2.php。我想做的就是在 test1.php 上点击提交，并将 test2.php 显示在 div 中。这实际上工作正常，但我需要向 test2.php
php - 文本区域 -> php -> mysql -> php
我得到了这个代码。我想通过textarea更新mysql。我在textarea中回显我的MySQL，但我不知道如何更新它，我应该把所有东西都放进去吗，因为_GET模式没有给我任何东西，我也尝试_GET
php - 我如何将一个 php 的值解析为另一个 php
首先，我是 php 的新手，所以我仍在努力学习。我在 Wordpress 上创建了一个表单，我想将值插入一个表(data_test 表，我已经管理了)，然后从 data_test 表中获取所有列(id
php - php 中的安全首选项、php 函数来清理输入
我有以下函数可以清理用户或网址的输入: function SanitizeString($var) { $var=stripslashes($var); $va
php - HTML/PHP 登录重定向到 php
我有一个 html 页面，它使用 php 文件查询数据库，然后让用户登录，否则拒绝访问。我遇到的问题是它只是重定向到 php 文件的 url，并且从不对发生的事情提供反馈。这是我第一次使用 html、
php - onClick php PHP 函数然后重定向
我有一个页面充满了指向 pdf 的链接，我想跟踪哪些链接被单击。我以为我可以做如下的事情，但遇到了问题: query($sql); if($result){
php - 有没有办法从 PHP 代码加载的文件中解析 PHP？
我正在使用从外部文本文件加载 HTML/PHP 代码 $f = fopen($filename, "r"); while ($line = fgets($f, 4096)) { print $l

首页

博学

6Ren·AI

商城

php - 清理 PHP/SQL $_POST、$_GET 等...？