url查询与安全

Question

在带有 id 的 url 查询中，我使用 is_numeric($_GET['id']) 来解决安全问题。但是在查询例如类别名称时，urlencode()是安全的正确方法吗？ 提前致谢。

Answer 1

不，urlencode 用于使字符串采用 URL 编码形式。

与数字 ID 不同，没有一种方法可以清理字符串输入值。您需要使用什么方法取决于您想要对类别名称执行什么操作。

例如：

• 如果您想在查询中使用它，请至少对其运行 mysql_real_escape_string() 或（更好）使用支持参数化查询的数据库类（如 PDO）。对于参数化查询，PDO 将负责安全地清理任何传入参数。

• 如果想输出到页面上，需要在输出前运行htmlentities()，以防止HTML代码注入。

当使用类别名称作为文件名、将其用作 URL 的一部分等等时，还有其他事情需要注意。