PDO与清理日期/删除 HTML

Question

我让用户使用此代码更新他们的姓名。

    $dbh = connect();
    $q = $dbh->prepare('UPDATE Users SET username=:name WHERE User_ID=:id LIMIT 1'); 
    $q->bindParam(":id", $loggedInUser->user_id, PDO::PARAM_INT);
    $q->bindParam(":name", $_GET['name'], PDO::PARAM_STR);
    $q->execute();

A）这足以净化信息吗？ b) 当我在其中添加 HTML 标签（如 name）时，它实际上在我的网站上以粗体显示！是否有一个选项可以让 PDO 删除所有 HTML？

Answer 1

看起来相当合理。不过，我建议使用 POST 而不是 GET 来进行破坏性/操纵操作。如果您坚持使用 POST 数据，那么您遭受 CSRF 攻击的可能性就会小得多，尽管这并不能让您完全免疫。

如果您实际上并不希望用户在名称字段中输入 HTML，则不必担心在进入数据库的过程中过滤数据。通过 htmlspecialchars() 或 htmlentities() 将其转义。

我一直坚持这样的观点：数据应该尽可能原始地存入数据库。

编辑：差点忘了，在尝试使用它们之前，请确保 $_GET / $_POST 中的预期值确实存在，例如

if (isset($_POST['name'])) {
    // now use it

Answer 2

A) 阅读手册：

准备语句的参数
不需要被引用；司机
自动处理这个。如果一个
应用程序专门使用准备好的
声明，开发商可以确定
不会发生SQL注入
（但是，如果
正在建立查询
未转义的输入，SQL注入是
仍然有可能）。

B) 永远不要相信用户的数据。在输出中使用 htmlspecialchars。

C) 使用 $_POST 和令牌进行查询，这将更改任何数据，以避免 CSRF。

Answer 3

永远不要相信用户输入！至少，将 $_GET['name'] 包装在清理函数中，例如 mysql_real_escape_string() 防止 SQL 注入攻击。然后，当您输出用户提供的数据时，请确保将其包装在 htmlspecialchars() 中 防止跨站脚本（XSS）攻击。