PHP $ _GET安全,$ _POST安全最佳做法

问题描述 投票:3回答:4

这是一个涵盖面很广的主题,但是我想在一些不同情况下,从使用用户变量数据的方法中获得一些确认。

  1. 该变量从不在数据库中使用,从不存储,仅在屏幕上显示给用户。使用哪个函数来确保没有html或javascript可以搞砸事情?

  2. 该变量被带入数据库,并在SQL查询中使用。

  3. 变量同时执行。

目前,我是xss_clean和strip_tags。我一直都这样做,只是靠自动驾驶仪。有更好的技术吗?抱歉,如果有相同的问题。我有点假设有,尽管我找不到如此详尽的信息。

干杯。

php security variables post get
4个回答
5
投票
  1. 在HTML上下文中输出htmlspecialchars时使用适当的功能,>
  2. 使用准备好的语句
  3. 请参阅1.和2。–取决于您是显示变量还是在查询中使用它。
4
投票

PHP世界中最糟糕的错觉之一是$_GET$_POST与安全性有关。

-1
投票
  1. 在第一种情况下,htmlspecialchars()可能是最佳选择,允许用户使用所有字符,例如,&等。
-3
投票
$id="1;drop table users;"; $id=mysql_real_escape_string($id); $sql="SELECT * FROM table

WHERE id=$id";
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.