Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Php 确保评论安全_Php_Security_Markdown_Wmd - Fatal编程技术网
Fatal编程技术网
  • php/
  • Php 确保评论安全

Php 确保评论安全

php security markdown

Php 确保评论安全,php,security,markdown,wmd,Php,Security,Markdown,Wmd,我正在尝试创建一个评论系统。我用的是课堂和课堂。我可以使用什么过滤器来确保安全地将注释插入我的数据库?我知道你可以使用PHP过滤器,比如FILTER\u SANITIZE\u STRING,但是这些不会把HTML变成实体吗 另外,如果您使用类似的工具,那么您是否也必须在客户端使用(例如)工具来确保它是安全的?您不需要使用任何过滤器进行SQL注入。一个更好的解决方案是使用。例如,PDO提供了。您不需要使用任何过滤器进行SQL注入。一个更好的解决方案是使用。例如,PDO提供了。基本上,当您将用户输入

我正在尝试创建一个评论系统。我用的是课堂和课堂。我可以使用什么过滤器来确保安全地将注释插入我的数据库?我知道你可以使用PHP过滤器,比如FILTER\u SANITIZE\u STRING,但是这些不会把HTML变成实体吗

另外,如果您使用类似的工具,那么您是否也必须在客户端使用(例如)工具来确保它是安全的?

您不需要使用任何过滤器进行SQL注入。一个更好的解决方案是使用。例如,PDO提供了。

您不需要使用任何过滤器进行SQL注入。一个更好的解决方案是使用。例如,PDO提供了。

基本上,当您将用户输入发送到某个地方时,您需要对其进行清理

当您将它放入数据库时,您需要通过引用SQL特殊字符来防止SQL注入(准备好的语句将为您做到这一点)。当您将它发送到浏览器时,您需要转义HTML特殊字符(PHP具有用于此操作的函数),以防止脚本注入

可能还有其他地方需要转义特殊字符。例如,如果将注释发送到服务器上的Bash脚本以进行某种处理。在这种情况下,您需要引用或转义Bash特定的特殊字符

重要的是不要在错误的阶段引用/转义:例如,当您将HTML实体放入数据库时,不要转义它,除非您完全确定自己在做什么。当您将其从数据库中拉出并准备将其发送到浏览器时,很容易再次意外地转义,或者在数据库连接失败时发送错误消息时根本不转义(这可能会导致XSS漏洞)。在最后一刻逃走,你很可能会避免这些陷阱。

基本上,当你将用户输入发送到某个地方时,你需要对其进行清理

当您将它放入数据库时,您需要通过引用SQL特殊字符来防止SQL注入(准备好的语句将为您做到这一点)。当您将它发送到浏览器时,您需要转义HTML特殊字符(PHP具有用于此操作的函数),以防止脚本注入

可能还有其他地方需要转义特殊字符。例如,如果将注释发送到服务器上的Bash脚本以进行某种处理。在这种情况下,您需要引用或转义Bash特定的特殊字符

重要的是不要在错误的阶段引用/转义:例如,当您将HTML实体放入数据库时,不要转义它,除非您完全确定自己在做什么。当您将其从数据库中拉出并准备将其发送到浏览器时,很容易再次意外地转义,或者在数据库连接失败时发送错误消息时根本不转义(这可能会导致XSS漏洞)。在最后一刻逃走,你很可能会避免这些陷阱。

我忘了添加,我使用的是基于PDO的redbean。我忘了添加,我使用的是基于PDO的redbean。