我一直在阅读有关保护
PHP应用程序的一些
内容,在我看来,
MysqLi_real_escape_string是在将数据插入
MysqL表时使用的正确
函数,因为addslashes会导致智能攻击者发生一些奇怪的事情.对?
但是,有一件事令我感到困惑.我似乎记得被告知,在将用户输入的数据回传给用户以保护他们的数据时,addslashes比htmlentities更好,但似乎addslashes是有漏洞的.这是真的,还是我记错了?
您的数据有不同的上下文.将数据插入
数据库的上下文需要以与呈现html / xml甚至电子
邮件消息的上下文不同的方式进行转义.
应该在所有新代码中弃用转发到数据库中的数据,以支持预准备语句.任何告诉你的人都会对你造成极大的伤害.
转发到浏览器的数据需要根据目标以多种不同的方式进行转义.有时htmlspecialchars就足够了,有时你需要使用htmlentities.有时您需要数字实体.这是一个你应该做一些研究的主题,以了解所有的细微差别.
我所遵循的一般规则是验证(不过滤,拒绝,如果不正确)输入&转义输出(基于上下文).