如何使用PHP将文本区域的叛逆者传递给MySQL
发布时间:2020-12-13 13:52:06 所属栏目:PHP教程 来源:网络整理
导读:我有一个文本区域,用户也可以添加注释.在下一页,我使用$_POST [评论]来显示输入的内容.我有一个编辑按钮,可以返回查看输入的内容并编辑注释,但是当我显示$_POST [注释]时,它会显示撇号的所有内容. 例: 最初键入:让我们试试这个. 编辑时:让 现在,当我将它
|
我有一个文本区域,用户也可以添加注释.在下一页,我使用$_POST [评论]来显示输入的内容.我有一个编辑按钮,可以返回查看输入的内容并编辑注释,但是当我显示$_POST [注释]时,它会显示撇号的所有内容.
例: 最初键入:让我们试试这个. 编辑时:让 现在,当我将它传递给服务器进行SQL添加时,我使用以下函数来防止SQL注入 function keepSafe($value) {
if (get_magic_quotes_gpc()) {
$value = stripslashes($value);
}
if (!is_numeric($value)) {
$value = "'" . mysqli_real_escape_string($value) . "'";
}
return $value;
}
以下是我用来格式化SQL插入输入的内容. $Comments = str_replace("n","<br />",$_POST['CustComments']);
$Comments = keepSafe($_POST['Comments']);
在提交之前进行编辑时,我需要能够在注释部分查看所有撇号.我想确保当我提交它时,SQL注入会阻止安全代码.
撇号的问题:
你可能使用这样的输入: <input type='text' value='<?php echo $value;?>'/> 问题是,如果值有撇号,则会发生这种情况: <input type='text' value='Let's play'/> 因此,由于变量中的撇号,值标签已结束. 要修复它,只需使用带有ENT_QUOTES的htmlspecialchars: <?php
$value = htmlspecialchars("Let's play",ENT_QUOTES);
?>
<input type='text' value='<?php echo $value; ?>'/>
这样撇号就会被编码,并且可以在你的表单中编辑 关于SQL注入: 只需使用mysqli’s prepared statements就可以了.为了使您远离XSS,请始终在HTML输出中使用htmlspecialchars用户输入.更好的方法是仅将输入过滤到您需要的内容,并仅将过滤后的输入保存到数据库中. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |