我还能做些什么来防止 XSS 注入和攻击？ SQL注入？

Question

如果我的网站上线（不认为会，目前只是一个学习练习）。

我一直在使用 mysql_real_escape_string();来自 POST、SERVER 和 GET 的数据。 另外，我一直在使用 intval();只能是数字的字符串。

我认为这可以让我免受sql注入的影响？正确的？我可以做更多吗？

但是，我不确定它如何提供（如果它提供任何保护的话）XSS 注入？

如果您提供有关如何对抗这两种形式的攻击的更多信息，我们将不胜感激。

Answer 1

我认为这可以让我免受 sql 注入的影响？对吗？

不，它会让你的数据变得一团糟。

我可以做更多吗？

是的。您可以保护您的代码免受 SQL 注入。
这是我已经做了一个简短的解释
只是我必须补充一点，你不应该破坏你的源数据数组。
POST 数组与 SQL 无关。数据可能会进入电子邮件、HTML 表单、文件、在线服务等。为什么要对它们进行 SQL 保护？
另一方面，您可以不从 POST 获取数据，而是从文件、在线服务或其他查询获取数据。
因此，您必须保护的不是源数组，而是进入查询的实际数据

说到 XSS，又不存在简单的通用规则。
但一般来说，您必须对以文本形式输出的每个不受信任的数据使用 htmlspecialchars($data,ENT_QUOTES); ，并在某些特殊情况下使用其他类型的验证，例如文件名

Answer 2

使用硬编码准备好的查询