PHP MySQL - 清理和验证建议

Question

我刚刚发现 PHP 清理和验证过滤器，并且我一直在使用 MySQL 的 mysql_escape_string 来阻止 SQL 注入。

现在我发现 PHP 也可以提供帮助，并且我想从逻辑上讲，这些过程在其功能上并不是排他性的：即，您可以在 PHP 中进行清理和验证，但仍然会遇到需要转义的情况。

我是对的还是我忽略了某些事情？

Answer 1

我是对的还是我忽略了什么？

不，你完全正确。为休闲读者提供的大字体可能会以某种方式错过您的问题的要点。

不同类型的输出需要不同类型的保护。

消除可能是 HTML 的内容，这样您就可以更安全地抵御 XSS。正确引用并转义您的数据库输入，您将更安全地抵御 SQL 注入。留意各处的意外输入，您将提高代码的安全性。

你现在完全意识到这一点，这是一件美妙的事情。太多人不。

我刚刚发现 PHP 清理和验证过滤器

这些都很好，不是吗？它们是现代 PHP 的重要组成部分。虔诚地使用它们，它们不会让你失望。除了电子邮件之外，它未能解决大量边缘案例；我更喜欢 is_email。

我一直在使用 MySQL 的 mysql_escape_string 来阻止 SQL 注入。

这……不是现代 PHP 的一个很好的部分。我还希望您使用包含“real”一词的转义字符串函数，否则您可能会遇到麻烦。

我认为您已准备好进行下一步：学习 PDO。它有准备好的语句和查询占位符，它将为您提供免费和当您正确使用它时，可以完全防止 SQL 注入。 PDO 可以在任何有现代 PHP 版本的地方使用。它是内置的。使用它、学习它、喜欢它。否则你就注定失败。注定了！

Answer 2

我建议您使用数据库扩展提供的适当的编码感知函数或方法来转义插入查询中的每一位数据。对于 mysql_ 这将是 mysql_real_escape_string （不要忘记real_ 部分！）。

推理很简单：代码不断发展。经常会发生对某个值的限制被放松的情况。想象一下，您以前只允许名称中包含字母数字字符，而现在您希望允许所有 Unicode 字符。因此现在名称 2 中允许使用 '。但遗憾的是，您的代码中没有 mysql_real_escape_string，因为您认为该名称是安全的。好吧，现在已经太晚了，私人用户数据已被读取，现在在黑市上流通......