北京当地网站 点,广州网站制作(信科网络),学科基地网站建设,网站建设合同技术开发合同范本本问题已经有最佳答案#xff0c;请猛点这里访问。这是否足以避免SQL注入#xff1f;这里只需要mysql_real_escape_string()方法。在将数据插入数据库之前#xff0c;不应该执行htmlentities()或urlencode()。这些方法通常是在呈现您提供给用户的视图期间编写的代码。避免SQ…本问题已经有最佳答案请猛点这里访问。这是否足以避免SQL注入这里只需要mysql_real_escape_string()方法。在将数据插入数据库之前不应该执行htmlentities()或urlencode()。这些方法通常是在呈现您提供给用户的视图期间编写的代码。避免SQL注入的更好方法是使用准备好的语句。资源php.net-用pdo编写语句关于同一主题php:mysql-real-escape-string是否足以清除用户输入准备好的报表。在正确的情况下它们也可以帮助提高性能。准备好的报表1份3个准备好的声明)我认为您混淆了两个安全问题SQL注入和跨站点脚本(XSS)。如果在发送到SQL数据库的SQL查询中使用了未正确清理的用户输入则网站容易受到SQL注入的攻击。例如此代码引入了一个SQL注入漏洞mysql_query(INSERT INTO postmessages (postmessage) VALUES ( . $_POST[postmessage] .));这个问题很容易通过使用像mysql_real_escape_string这样的函数来转义用户输入来解决mysql_query(INSERT INTO postmessages (postmessage) VALUES ( . mysql_real_escape_string($_POST[postmessage]) .));这就是您需要做的全部工作但最棘手的部分是记住要为SQL语句中使用的每一个用户输入完成这项工作。当用户输入在发送到客户机的HTML中使用时网站容易受到跨站点脚本攻击。例如此代码引入了一个XSS漏洞echo . $_POST[postmessage] .;通过使用类似于htmlspecialchars的函数来转义用户输入可以修复XSS漏洞echo . htmlspecialchars($_POST[postmessage]) .;同样这很容易做到但很容易被遗忘。通常将用户输入放在数据库中以便在以后发送HTML时使用的输入保存为未修改的。也就是说只使用mysql_real_escape_string。但是您可以转义用户输入以防止XSS然后转义XSS安全字符串以防止SQL注入mysql_query(INSERT INTO postmessages (postmessage) VALUES ( . mysql_real_escape_string(htmlspecialchars($_POST[postmessage])) .));好处是在将值写入HTML之前不需要记住使用htmlspecialchars从数据库中转义值。缺点是一些值可能需要使用不同的函数进行转义。例如用户名可能与htmlspecialchars一起转义但postmessage可能允许bbcode、markdown或html的子集。如果您对所有输入进行转义以防止XSS那么您将需要使用htmlspecialchars_decode等工具从数据库中取消对值的scape。一个问题是取消转义字符串的转义并不总是返回原始字符串(unescape(escape($orig))不一定与$orig相同)。即使使用htmlspecialchars和htmlspecialchars_decode使用不同的引号样式也会导致此问题。另一个例子是如果使用了strip_tags那么信息将无法恢复地被删除您将无法撤消strip_tags。因此许多开发人员选择使用mysql_real_escape_string只将值保存到数据库中而htmlspecialchars则从数据库中准备一个字符串以用于HTML。使用准备好的语句更清晰地查看并且一旦掌握了它的窍门可能更容易处理这不是更好吗施乐当然。准备好的语句使一致地转义用户输入更加容易。然而在回答OP的问题时我想确保他/她理解使用mysql_real_escape_string或某些db转义机制和htmlentities或某些xss转义机制的原因。是的但不使用mysql_real_escape_string()是有原因的。首先打字很痛苦。其次你必须记住每次都要使用它。第三它会使代码变得丑陋。第四你必须记住引用你的字符串。第五以这种方式在数据库中插入blob更困难。从长远来看学习PDO将使你的生活变得更好。学习起来比简单使用mysql_real_escape_string()更困难但是长期的好处超过了学习曲线带来的不便。您还应该确保在插入代码的地方使用around。例如如果你这样做$_POST[userid] mysql_real_escape_string($_POST[userid]);mysql_query(SELECT * FROM user WHERE userid . $_POST[userid]);mysql-real-escape-string没有任何帮助。这是因为$u post[userid]没有被包围。所以你应该这么做$_POST[userid] mysql_real_escape_string($_POST[userid]);mysql_query(SELET * FROM user WHERE userid \. $_POST[userid] .\);相反。所以在变量上使用mysql-real-escape-string并不意味着它们在任何查询中都是安全的。另一种方法是使用准备好的语句。
