PHP 输出帮助

Question

代码 -

$price = mysqli_real_escape_string($connect,trim($results['price']));

从数据库中检索价格，然后使用 -

echo $price; 

问题 - 这对于 XSS 或 SQL 注入是否足够安全？它仅包含数字。

谢谢

Answer 1

检查可能应该在数据输入期间完成，但您可以安全地在输出时进行检查。我只会使用 is_numeric 或类似的东西可以确保输出确实是一个数字。

Answer 2

标准做法是使用 htmlspecialchars() 或 htmlentities() 将输出转义到浏览器以防止 XSS。然而，正如另一个答案中提到的，真正的问题是数据库中是否首先存储了正确的数据。在存储到数据库之前，应该对其进行正确的验证和转义。

Answer 3

为了安全起见，您需要评估 $results['price'] 的输入是否来自用户输入。

如果是，您需要在将其发送到 SQL 之前将其严格验证/清理为预期值。

Answer 4

如果您的数据仅从数据库读取，您可以使用 mysqli_real_escape_string() 忽略。它对于转义应写入数据库的用户输入非常有价值。

Answer 5

mysqli_real_escape_string() 用于转义要插入数据库的数据，以防止 SQL 注入。与XSS无关。

你必须使用 htmlentities() 来做你想做的事。我建议您阅读 eykanal 答案并使用 is_numeric 进行验证。