flyzy博客
php一知半解,代码都是摘自百度,请教php大佬,如何有效的防止注入和xss
73_W@GD]MKS@C5IZ}VGSMZT.png
(30.64 KB, 下载次数: 0)
1 小时前 上传
点击文件名下载附件
台湾省网友说:这是两个分开的事
防注入 最基本的是不要拼凑 sql 字符串,可以选择 pdo 预处理,也可以选择 orm 框架来操作数据库,或者超轻量级的 medoo
防 xss 不应该在入数据库之前传,进入数据库的应该是原始数据,因为后面可能会对原数据编辑修改 或其它计算,应该从数据库拿出来之后,在展示之前(echo 到 html 的时候)做相应的处理
福建省网友说:论坛不让传代码,只能截图了
山西省网友说:get来的数据先过滤一遍
广东省网友说:最简单办法把username正则一遍不允许特殊字符过
江苏省网友说:用了预处理了,问题不大。
江苏省网友说:pdo预处理 已经可以了。 XSS需要把 单双引号与尖括号实体化
陕西省网友说:额,用了pdo预处理,注入就无效了,可以这样理解么?
楼上说的实体化,是要把get的参数这样处理么,有具体代码么,百度了下,看不太懂 = =
浙江省网友说:用了预处理加参数绑定就免疫sql注入了
防xss的话用htmlspecialchars函数过一遍传入内容
江苏省网友说:明白了,多谢~~
