这是一个涵盖面很广的主题,但是我想在一些不同情况下,从使用用户变量数据的方法中获得一些确认。
该变量从不在数据库中使用,从不存储,仅在屏幕上显示给用户。使用哪个函数来确保没有html或javascript可以搞砸事情?
该变量被带入数据库,并在SQL查询中使用。
变量同时执行。
目前,我是xss_clean和strip_tags。我一直都这样做,只是靠自动驾驶仪。有更好的技术吗?抱歉,如果有相同的问题。我有点假设有,尽管我找不到如此详尽的信息。
干杯。
htmlspecialchars
时使用适当的功能,>PHP世界中最糟糕的错觉之一是$_GET
或$_POST
与安全性有关。
$id="1;drop table users;"; $id=mysql_real_escape_string($id); $sql="SELECT * FROM table
WHERE id=$id";