保护必须写入数据库的输入的步骤？

发布于 2024-10-09 15:37:42 字数 745 浏览 3 评论 0原文

假设我有一个 POST 文本区域的 Text 。在那个领域我应该可以写任何我想写的东西。例如 XSS、SQL 和其他最终的不良代码。对于标记，我将使用 BBCode，因此我想显示代码而不使其工作。
当然，我想避免的事情是数据库被搞砸了！有没有一种极其安全的方法来做到这一点？

我实际执行的步骤是：

指定 Content-Type 和字符集 Content-Type: text/html; charset=UTF-8
限制输入。 例如：最多 500 个字符
使用 htmlentities() $GoodText = htmlentities($Text, ENT_QUOTES, "UTF-8");
使用 mysql_real_escape_string() $GoodText = mysql_real_escape_string($GoodText);< /p>
将其存储在数据库中 $db->store($User, $GoodText); code>

据我所知，步骤 3 和 4 完全相同，但我'我想得到一个解释。

无论如何，这是一种工作方法吗？
我还应该对 POST 表单使用令牌吗？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

放我走吧 2024-10-16 15:37:42

为您快速概述：

针对跨站点请求使用令牌
伪造。
使用 htmlspecialchars/entities 来对抗
跨站点脚本攻击。
使用 mysql_real_escape_string 来对抗
SQL注入。

为了数据库安全，您只需使用 mysql_real_escape_string 函数进行转义。

回复收藏 0 原文

硪扪都還晓 2024-10-16 15:37:42

我使用的这个函数基本上是步骤 3 和步骤 4 的结合。它适用于一维数组和字符串。

function escape($mixed){
    if(is_array($mixed)){
        foreach($mixed as $m => $value){
            $mixed[$m] = mysql_real_escape_string(htmlspecialchars($value, ENT_QUOTES, "UTF-8"));
        }
    }else{
        $mixed =  mysql_real_escape_string(htmlspecialchars($mixed, ENT_QUOTES, "UTF-8"));
    }
return $mixed;
}

I use this function that is basically steps 3 and 4 combined. It works with one dimensional array and strings.

function escape($mixed){
    if(is_array($mixed)){
        foreach($mixed as $m => $value){
            $mixed[$m] = mysql_real_escape_string(htmlspecialchars($value, ENT_QUOTES, "UTF-8"));
        }
    }else{
        $mixed =  mysql_real_escape_string(htmlspecialchars($mixed, ENT_QUOTES, "UTF-8"));
    }
return $mixed;
}

回复收藏 0 原文

~没有更多了~