sql 注入/浏览器劫持者预防 php

Question

我有一个网站，无法使用 html_entities() 或 html_specialchars() 来处理用户输入数据。相反，我添加了一个自定义函数，它最终是一个函数，它使用数组 $forbidden 来清除输入字符串中所有不需要的字符。目前，由于 sql 注入/浏览器劫持，我将 '<'、'>'、"'" 作为不需要的字符。我的网站采用 utf-8 编码 - 我是否必须向该数组添加更多字符，即用其他字符集编码的字符“<”？

感谢您的帮助，

梅尼

Answer 1

1. htmlentities 和 htmlspecialchars 函数与sql注入无关
2. 以防止注入，你必须遵循一些规则，我已经描述了它们全部此处
3. 过滤 HTML，您可以使用 htmlspecialchars( ) 函数，它不会损害您的西里尔字符

Answer 2

您也应该转义 "。它比 ' 危害更大，因为您经常将 HTML 属性括在 " 中。但是，为什么不简单地使用 htmlspecialchars 来完成这项工作呢？

此外：对 SQL 和 HTML 使用同一个转义函数并不好。 HTML 需要转义标签，而 SQL 不需要。因此，如果您使用 htmlspecialchars 进行 HTML 输出，使用 PDO::quote （或 mysql_real_escape_string 或您正在使用的任何内容）进行 SQL 输出，那就最好了查询。

但我知道（根据我自己的经验），转义 SQL 查询中的所有用户输入可能真的很烦人，有时我只是不转义部分，因为我认为它们是“安全的”。但我确信我的假设并不总是正确的。因此，最后我想确保我确实转义了 SQL 查询中使用的所有变量，因此编写了一个小类来轻松完成此操作： com/nikic/DB" rel="nofollow noreferrer">http://github.com/nikic/DB 也许您也想使用类似的东西。

Answer 3

将此代码放入您的标题页中。它可以防止PHP中的SQL注入攻击。

函数 clean_header($string)
{
$字符串=修剪（$字符串）；

// 来自 RFC 822：“字段主体可以由任何 ASCII 组成
// 字符，除了 CR 或 LF。”
if (strpos($string, “\n“) !== false) {
$string = substr($string, 0, strpos($string, “\n”));
}
if (strpos($string, “\r“) !== false) {
$string = substr($string, 0, strpos($string, “\r“));
返回

$字符串；
}