如果与准备语句一起使用，没有输入验证的 PHP 联系表单安全吗？

Question

我的网站上有一个联系我们的表格，我试图不限制用户使用的字符，因为我们希望支持多语言名称。我们只检查名称/电子邮件等的长度和结构。

我知道如果将变量直接插入到查询语句中可能会很危险，但我正在使用准备好的语句，如下所示。

$stmt = $conn->prepare("INSERT INTO contact_us_form (id,available_id,user_id,foreName,surName,mail,message) VALUES (?,?,?,?,?,?,?)");
$stmt->bind_param("iiissss",$num,$availableID,$userID,$foreName,$surName,$mail,$message);    
$stmt->execute();
$stmt->close();
$conn->close();

这是在我的 mysql 数据库中保存原始数据的正确方法吗？我也会给自己发送一封电子邮件，但在这样做之前我会转义特殊字符。[UTF-8]

Answer 1

使用准备好的语句可以很好地防止 SQL 注入攻击。然而，这不足以防范其他类型的攻击。这些数据还将如何使用？

如果此消息曾经显示在网页中（例如向要阅读该消息的人），则需要使用 HTML 实体对其进行转义。

如果此消息作为电子邮件发送，则需要从电子邮件地址、姓名和放入电子邮件标头的其他字段中删除对电子邮件标头不安全的换行符等字符。

基本上，无论何时在任何地方使用这些数据，您都需要确保将其视为用户提交的、不受信任的数据。它始终需要以适合其插入的特定上下文的方式进行转义或清理。

Answer 2

输入验证与安全性并不真正相关，但它可以被视为深度防御。输入验证还可以防止其他滥用行为。例如，某人可能会向您的联系表单提交 1GB 的数据。这是您的应用程序期望并且可以处理的事情吗？您的数据库列能够存储这么多数据吗？如果您不验证输入，您的应用程序可能会崩溃。拒绝无效输入。

如果使用正确，准备好的语句可以防止 SQL 注入。您不需要对数据进行“清理”或类似的操作。使用准备好的语句时没有“特殊字符”。您的数据库也没有将任何字符定义为特殊字符；它会保存你给它的任何东西。您必须确保以正确的字符集保存数据，并告诉 mysqli 连接该字符集是什么。

当然，在 HTML 中显示数据时，请确保其格式正确，这样数据就不会破坏 HTML 结构。为此，请使用 htmlspecialchars() 。