关于使用 magic_quotes off 防止 SQL 和使用 htmlentities 防止 XSS 的问题

发布于 2024-12-01 14:16:06 字数 616 浏览 2 评论 0 原文

在我的服务器上，我关闭了 magic_quotes 。当用户从表单将内容作为文章保存到我的数据库中时，我使用

$text = mysql_real_escape_string($_POST['text']); 来防止 SQL 注入。

这是我的输入这就是它保存在数据库中的内容

当我 echo htmlentities($row['text']); 时，我得到打印在屏幕上，在查看源代码时我得到 .

我的问题是

是否应该像一样保存在数据库中以防止 SQL 注入？
htmlentities 是防止 XSS 攻击的良好候选者吗？
我应该打开 magic_quotes 吗？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

匿名的好友 2024-12-08 14:16:06

不应该像那样保存在数据库中以防止SQL注入吗？

不，SQL 注入被广泛误解，主要是因为它们实际上与 SQL 无关，因为它们只是字符串操作。您不需要更改插入数据库的数据，只需更改作为查询发送到数据库服务器的字符串（除非您做出明智的选择并使用准备好的语句而不是转义查询字符串）。数据一旦存储，就应该处于其原始状态。

htmlentities 是防止 XSS 攻击的良好候选者吗？

是的，但是 htmlentities() 适合将数据作为输出发送到浏览器，而不适合将其存储到数据库中（因为数据库中的数据可能用于网页以外的其他用途）。

我应该打开 magic_quotes 吗？

不，您应该使用准备好的语句。

回复收藏 0 原文

意中人 2024-12-08 14:16:06

看来您的魔术引号已启用。检查一下。
有很多关于此的文章，但为了快速入门，不允许使用 JavaScript 和外部图像。

回复收藏 0 原文

你的往事 2024-12-08 14:16:06

从数据库中获取转义数据表明它已被双重转义 - 您的 PHP 是否打开了 magic_quotes_gpc ？如果您想清理 HTML 并仅允许您指定的某些结构，那么我建议使用 HTMLPurifier ，它会变得严格或随心所欲地放松。

回复收藏 0 原文

忱杏 2024-12-08 14:16:06

使用 mysql_real_escape_string 并将引号恢复正常：

$text = str_replace('\"', '"', $row['text']); // Alternative one
$text = preg_replace("/X/", '"', $row['text']); // Alternative two. X needs to be \\", \\\" or \\\\", perhaps \\\\\"

更新问题的答案：

正确保存数据如下：

输入 -> php-> mysql_real_escape_string ->;数据库-> php-> htmlspecialchars ->;浏览器

Use mysql_real_escape_string and turn the quotes back to normal:

$text = str_replace('\"', '"', $row['text']); // Alternative one
$text = preg_replace("/X/", '"', $row['text']); // Alternative two. X needs to be \\", \\\" or \\\\", perhaps \\\\\"

Answers to updated questions:

Correct saving of data goes like this:

input -> php - > mysql_real_escape_string -> db -> php -> htmlspecialchars -> browser

回复收藏 0 原文

~没有更多了~