安全字符串输出

Question

我得到了

$id = (int) $_POST['id']
$content = filter_input(INPUT_POST, 'post_content', FILTER_SANITIZE_STRING);

上面的内容，当我将其发布到数据库时，它正在使我的 $content 字符串受到保护：

$conn->new->query("UPDATE `posts` SET `content` = " . $conn->escape_string($content) . " where `id` = {$id};");

但同时，它确实删除了一些特殊字符，例如标签，例如我不能使用 <在我的帖子中，因为它将被删除。

我该如何修改它，才能足够安全，同时防止我的代码被黑客攻击？

Answer 1

转义是允许某些可能对目标系统产生有害影响的字符的过程。例如，MySQL 使用引号和括号等字符。 mysql_real_escape_string 转义这些字符，这样它们就不会污染查询。

在将数据存储到数据库之前，您不一定需要清除数据中的 HTML，但必须转义有害字符。正如 @Damien 在评论中指出的那样，您可以在 output 之前转义 HTML（这可能会对您的 HTML 产生不利影响）。

Answer 2

只需使用 real_escape_string() 就已经足够安全了 ^_ ^