php – Htmlentities vs addslashes vs mysqli_real_escape_stri
发布时间:2020-12-13 16:29:55 所属栏目:PHP教程 来源:网络整理
导读:我一直在阅读有关保护 PHP应用程序的一些内容,在我看来,mysqli_real_escape_string是在将数据插入MySQL表时使用的正确函数,因为addslashes会导致智能攻击者发生一些奇怪的事情.对? 但是,有一件事令我感到困惑.我似乎记得被告知,在将用户输入的数据回传给用
|
我一直在阅读有关保护
PHP应用程序的一些内容,在我看来,mysqli_real_escape_string是在将数据插入MySQL表时使用的正确函数,因为addslashes会导致智能攻击者发生一些奇怪的事情.对?
但是,有一件事令我感到困惑.我似乎记得被告知,在将用户输入的数据回传给用户以保护他们的数据时,addslashes比htmlentities更好,但似乎addslashes是有漏洞的.这是真的,还是我记错了?
您的数据有不同的上下文.将数据插入数据库的上下文需要以与呈现html / xml甚至电子邮件消息的上下文不同的方式进行转义.
应该在所有新代码中弃用转发到数据库中的数据,以支持预准备语句.任何告诉你的人都会对你造成极大的伤害. 转发到浏览器的数据需要根据目标以多种不同的方式进行转义.有时htmlspecialchars就足够了,有时你需要使用htmlentities.有时您需要数字实体.这是一个你应该做一些研究的主题,以了解所有的细微差别. 我所遵循的一般规则是验证(不过滤,拒绝,如果不正确)输入&转义输出(基于上下文). (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |