Php 在sql数据库中存储图像标记是否会带来安全风险？

我想知道在没有任何验证的情况下将图像标签存储在内部是否存在安全风险。下面的一位评论者指出，由于内联javascript，它可能会成为一种安全威胁。另外，对于我的情况，另一种解决方案可能是删除除“smilyImage”类之外的所有图像。换句话说，删除所有像这样的图像：

并保留像这样的图像：

只要SQL查询转义正确（或者更好的是，使用属性绑定），那么就不会有安全风险（您只是有效地将文本存储在列中）

但是，如果您的查询不安全，则可能会打开SQL注入

---

不过，我不会将图像标记存储在数据库中，而只是图像源的URL（很容易验证）。

视情况而定。如果您让用户提交图像标记，例如，他们可以向其添加JavaScript onClick事件，这可能会导致一些问题（如果您没有转义返回值）

---

传递到数据库的所有数据，如果您不确切知道它是什么，则可能存在安全风险。

什么是属性绑定？从没听说过。我试着用谷歌搜索，但没有得到太多的结果。@user3234267，它通常被称为带参数的准备好的查询。看看我的情况，我想我可以给我想要保留一个类的图像，然后去掉所有其他图像。没错，我没有想到内联javascript。我应该想到的。有没有办法删除这些内联脚本？什么是“转义返回值”？试图用谷歌搜索它。@user3234267，请参阅。事实上，只要把自己停在OWASP.org上，读一些关于安全威胁及其补救措施的书，“转义返回值”是我说“转义SQL查询中的特殊字符”的拙劣方式。但正如德怀特所说，我只存储图像的源URL。这更简单、更安全。