php – Htmlentities vs addslashes vs mysqli_real_escape_string

前端之家收集整理的这篇文章主要介绍了php – Htmlentities vs addslashes vs mysqli_real_escape_string前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我一直在阅读有关保护 PHP应用程序的一些内容,在我看来,MysqLi_real_escape_string是在将数据插入MysqL表时使用的正确函数,因为addslashes会导致智能攻击者发生一些奇怪的事情.对?

但是,有一件事令我感到困惑.我似乎记得被告知,在将用户输入的数据回传给用户以保护他们的数据时,addslashes比htmlentities更好,但似乎addslashes是有漏洞的.这是真的,还是我记错了?

您的数据有不同的上下文.将数据插入数据库的上下文需要以与呈现html / xml甚至电子邮件消息的上下文不同的方式进行转义.

应该在所有新代码中弃用转发到数据库中的数据,以支持预准备语句.任何告诉你的人都会对你造成极大的伤害.

转发到浏览器的数据需要根据目标以多种不同的方式进行转义.有时htmlspecialchars就足够了,有时你需要使用htmlentities.有时您需要数字实体.这是一个你应该做一些研究的主题,以了解所有的细微差别.

我所遵循的一般规则是验证(不过滤,拒绝,如果不正确)输入&转义输出(基于上下文).

猜你在找的PHP相关文章