前端之家收集整理的这篇文章主要介绍了
php – 我是否需要清理用户输入Laravel,
前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在使用Laravel 4和Eloquent.
当我得到
用户输入时我只使用$name = Input :: get(‘name’)然后我做$a-> name = $name;
我不知道函数Input :: get是否保护我免受sql注入和XSS的攻击.如果没有,我需要做些什么来消毒输入?
而且,当我在视图中显示价值时,我应该使用{{$a}}还是{{{$a}}}
问候和感谢.
Laravel使用PDO的参数绑定,因此
sql注入不是你应该担心的.你应该阅读
this.
Input :: get()不会过滤任何内容.
三个花括号与e()和HTML :: entities()相同.所有这些都称为支持UTF-8的htmlentities:
htmlentities($your_string,ENT_QUOTES,'UTF-8',false);