sql >> Database teknologi >  >> RDS >> Mysql

Er dette en sikker/stærk input-saneringsfunktion?

Jeg vil sige, at det er for generelt. Det kan være sikker til mange anvendelser, men det ville ofte give uønskede bivirkninger til strenge. Ikke alle strenge skal undslippes på den måde.

  • mysql_real_escape_string() bør kun bruges i SQL-forespørgsler. Endnu bedre, bind params med PDO.
  • Hvorfor ønsker du at slette tags og indkode enheder, før du indsætter dem i en database? Måske gør det på vej ud.
  • For at forhindre XSS, htmlspecialchars() er mere af din ven. Giv det tegnsættet som et argument.

Så jeg ville bruge mysql_real_escape_string() for forespørgsler og htmlspecialchars() til ekko af brugerindsendte strenge. Der er også meget mere at vide. Læs lidt yderligere .



  1. opret forbindelse til postgres server på google compute engine

  2. 10 nyttige Microsoft Access-genveje, når du arbejder med kontrolelementer på formularer og rapporter

  3. Sekvens vs identitet

  4. Forstå Pivot Operator i SQL