php – 这是一个安全/强大的输入清理功能吗？

发布时间：2020-12-13 13:49:22 所属栏目：PHP教程来源：网络整理

导读：这是我最近从- Sams Teach Yourself Ajax,JavaScript,and PHP All in One学到的一本书中使用的消毒功能. 我一直在自己的PHP网站上使用它.对于现实世界的使用是否安全？ function sanitizestring($var){ $var = strip_tags($var); $var = htmlentities($var);

这是我最近从- Sams Teach Yourself Ajax,JavaScript,and PHP All in One学到的一本书中使用的消毒功能.

我一直在自己的PHP网站上使用它.对于现实世界的使用是否安全？

function sanitizestring($var)
{
  $var = strip_tags($var);
  $var = htmlentities($var);
  $var = stripslashes($var);
  return mysql_real_escape_string($var);
}

我会说这太笼统了.对于很多用途来说它可能是安全的,但它通常会给字符串带来不必要的副作用.并非每个字符串都应该像那样进行转义.

> mysql_real_escape_string()只能在SQL查询中使用.更好的是,将params与PDO绑定.
>在插入数据库之前,为什么要覆盖条带标签和编码实体？也许在出路的时候做.
>对于XSS预防,htmlspecialchars()更像是你的朋友.将字符集作为参数赋予它.

所以我会使用mysql_real_escape_string()进行查询,使用htmlspecialchars()来回显用户提交的字符串.还有很多要知道的.做一些further reading.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!