你如何表示变量在php中“未经过清理”?
发布时间:2020-12-13 21:45:39 所属栏目:PHP教程 来源:网络整理
导读:我已经在php中编写了一些基本的网站和应用程序,但我之前从未真正改编过任何严格的命名标准,除了我如何命名存储 MySQL数据库中的数据的变量,在这种情况下我将它命名为完全相同作为列名(通常类似于a_column_name). 我知道区分“不干净”和“干净”变量非常重要
|
我已经在php中编写了一些基本的网站和应用程序,但我之前从未真正改编过任何严格的命名标准,除了我如何命名存储
MySQL数据库中的数据的变量,在这种情况下我将它命名为完全相同作为列名(通常类似于a_column_name).
我知道区分“不干净”和“干净”变量非常重要,因此我不会意外地最终允许SQL注入或XSS发生,但我不确定我应该使用什么命名约定. 有什么建议? 解决方法
我不认为这是正确的做法.
首先,变量可以用各种方式编码,比如sql,urls,html,……你也应该编码尽可能接近消费.即输出前的html编码,传递给mysql之前的sql escape … 当然在sql的情况下,您应该更喜欢准备语句而不是构建字符串查询. 因此,如果您坚持使用命名约定,则应基于应用于该变量内容的转义/编码,而不是您未清理的内容. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |