php – 过滤用户输入

发布时间：2020-12-14 23:15:52 所属栏目：资源来源：网络整理

导读：我在这里阅读了很多关于过滤用户输入的问答,但大多数时候答案是它取决于你正在做什么.这是我正在做的事情：通过将在MySQL查询中使用的表单提交的数据： function clean($field,$link){ return mysql_real_escape_string($field,$link);} 通过表格提交的数据

我在这里阅读了很多关于过滤用户输入的问答,但大多数时候答案是它取决于你正在做什么.这是我正在做的事情：

通过将在MySQL查询中使用的表单提交的数据：

function clean($field,$link)
{
    return mysql_real_escape_string($field,$link);
}

通过表格提交的数据将显示在HTML / PHP页面或电子邮件中：

function output_html($value)
{
    return stripslashes(htmlspecialchars($value));
}

从数据库显示的数据：

function output_db($value)
{
    return stripslashes($value);
}

这是否足以满足我的需求？有什么我不考虑的吗？

谢谢！

最佳答案

在将字符串插入SQL查询时,无论输入来自何处,都使用mysql_real_escape_string().

将字符串插入HTML代码时,都使用htmlspecialchars()或htmlentities().

将值插入URL的查询字符串时,请使用urlencode(),无论值来自何处.

如果这些数据来自用户,那么你肯定应该做这些事情,因为用户有可能尝试做坏事.但是除了安全性之外 – 如果你想将一个合法的字符串插入一个SQL查询并且该字符串碰巧只有一个单引号字符怎么办？你仍然必须逃脱它.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!