用于数据库和网络安全的 preg_replace 函数

Question

出于安全目的，我在面向对象的程序中使用 preg_replace 函数来删除字符。但是，该字段需要允许某些字符，例如 @ 或数字等。我可以在 preg_replace 函数中放置什么来保护我的数据库，但允许用户输入适当的数据。这些数据如电话号码、姓名、用户名等。密码使用 MD5 功能加密。

有人告诉我使用 md5 和 preg_replace 是个坏主意。如果可以，我可以使用哪些功能？

Answer 1

为了保护 batabase，请使用 mysql_real_escape_string、mysqli_real_escape_string、PDO 参数绑定，具体取决于您使用的内容。在放入数据库之前无需用 preg_replace 替换任何内容。

Answer 2

仅仅依靠 preg_replace 来保证安全并不是一个好主意。不过，它对于强制执行/标准化电话号码或日期格式等内容很有用。

MD5 和 SHA1 等算法用于散列。您可以在任何数据上使用它，甚至是危险的不受信任的输入，并且您总是会得到一个十六进制字符串。但是，由于哈希是单向的，因此您无法将它们“解密”回原始输入。

@dfsq 是对的 - 使用这些方法将潜在危险的输入安全地保存到数据库中。您想要使用哈希的唯一情况是密码之类的东西，没有人应该能够解密它们。 （如果您对密码进行哈希处理，请确保也对它们加盐！）