使用PHP轻松清理所有GET和POST输入?
我已经构建了一个相当大的web应用程序,现在几乎完成了,我还没有做任何事情来保证用户输入的安全 每个页面首先调用一个“midleware”对象,我想我可以清理它的构造函数中的所有使用PHP轻松清理所有GET和POST输入?,php,mysql,security,Php,Mysql,Security,我已经构建了一个相当大的web应用程序,现在几乎完成了,我还没有做任何事情来保证用户输入的安全 每个页面首先调用一个“midleware”对象,我想我可以清理它的构造函数中的所有$\u GET和$\u POST变量 是否可以只使用PHP函数来确保所有输入的安全,或者我是否应该检查每个输入并专门针对其用途进行清理?该应用程序使用MySQL数据库,大多数输入都与MySQL数据库一起使用 我在想,除了字母、数字和标点符号之外,我可以去掉输入中的所有内容 在准确知道输入的使用位置之前,不可能“逃逸”或使
$\u GET$\u POSTPHPMySQLMySQL我在想,除了字母、数字和标点符号之外,我可以去掉输入中的所有内容 在准确知道输入的使用位置之前,不可能“逃逸”或使所有输入“安全” 防止SQL注入应该主要通过准备好的语句来完成。和扩展都支持预先准备好的语句,并且通常与标准PHP发行版捆绑在一起。但是,您可以使用和扩展名将所有输入强制为指定的字符编码 当您知道输入将在什么上下文中使用时,应该进行验证。如果输入应该是一封电子邮件,你最好验证一下它实际上是一封电子邮件,而不是事先做出假设。关于用户输入的假设总是错误的。如果一个输入不遵守您指定的限制,您应该认为它是无效的/被污染的。< /P>
希望这能有所帮助,快乐编码。你说的“干净”和“安全”是什么意思?转义以防止注入?是的,我想防止注入“是否可以只使用PHP函数来确保所有输入的安全?”–否。“或者我应该检查每个输入并专门针对其用途进行清理?”–是的。“我已经构建了一个相当大的web应用程序,现在已经接近完成,我还没有做任何事情来保证用户输入的安全。”