PHP安全性,intval和htmlspecialchars
发布时间:2020-12-13 22:06:36 所属栏目:PHP教程 来源:网络整理
导读:?php$id = intval($_GET['id']); $sql = mysql_query("SELECT username FROM users WHERE id = $id"); $row = mysql_fetch_assoc($sql);$user = htmlspecialchars($row['username']);?h1User:?php echo $user ?/h1 您能否在上述代码中看到任何威胁?我必须在
<?php
$id = intval($_GET['id']);
$sql = mysql_query("SELECT username FROM users WHERE id = $id");
$row = mysql_fetch_assoc($sql);
$user = htmlspecialchars($row['username']);
?>
<h1>User:<?php echo $user ?></h1>
您能否在上述代码中看到任何威胁?我必须在输出的所有内容上使用htmlspecialchars吗?我应该使用is_numeric或intval来检查get是否为数字? 我只是建立一个最小的网站.我只是想知道上面的代码是否容易受到sql注入,xss? 解决方法
一般来说
mysql_real_escape_string()是首选,但因为它是一个数字,intval()就可以了.所以是的,从安全角度看它看起来不错.
但有一点,在许多平台上,整数限制为32位,所以如果你想处理大于21亿的数字,那么它将无法工作.好吧,无论如何,它都不会起作用. 这些安全预防措施适用于任何形式的用户输入,包括cookie(许多人忘记的事情). (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |