Php 我需要一个更好的方法来阻止黑客将致命数据插入我的数据库
我目前在我的网站上有一本留言簿。这是非常基本的。最近,我一直怀疑我目前对添加到数据库中的输入进行消毒的方法是否足够安全。以下是收集数据并对其进行清理的当前代码片段:Php 我需要一个更好的方法来阻止黑客将致命数据插入我的数据库,php,mysql,Php,Mysql,我目前在我的网站上有一本留言簿。这是非常基本的。最近,我一直怀疑我目前对添加到数据库中的输入进行消毒的方法是否足够安全。以下是收集数据并对其进行清理的当前代码片段: $name=$_POST['name']; $c_name=mysql_real_escape_string(htmlspecialchars($name)); $detail=mysql_real_escape_string(htmlspecialchars($_POST['detail'])); 显然,我会将数据发送到服务器,
$name=$_POST['name'];
$c_name=mysql_real_escape_string(htmlspecialchars($name));
$detail=mysql_real_escape_string(htmlspecialchars($_POST['detail']));
显然,我会将数据发送到服务器,并将它们放在必要的表中。这种方式有效吗?或者我应该注意安全漏洞吗?谢谢 您不应在发送到数据库的数据上使用
htmlspecialchars()决不能对发送到数据库的数据使用
htmlspecialchars()mysql\u real\u escape\u string()所做的一切都是转义引号。还有很多其他的方法可以“破坏”一个站点,包括CSRF和XSS。你最好只留下你允许的东西,而不是逃避提供的任何东西。这就足够了。请注意,你得到的谴责性回答只指出这种方法是业余的。但是,由于您只想在页面上再次打印留言簿条目,实际上,预先转义html内容是很实际的。@mario-您是不是把评论指向我了?我不知道你的意思。@JaredFarrish:不,看答案。虽然技术上是正确的,但我觉得OP选择的简单方法(htmlspecialchars优先)更适合他。@马里奥在重新思考并阅读了一些答案后,我真的只需要在显示输出时使用htmlspecialchars()。我指的答案是删除了他们的帖子。
mysql\u real\u escape\u string()