问保护在方法调用、SQL和文件调用中使用的用户数据

EN

由于转义也取决于您要发送数据的系统，我的建议是使用PHP提供的函数，为每个系统专门创建。

例如：

• 对于MySQL查询，使用mysql_real_escape_string、mysqli_real_escape_string或PDO::quote
  • 或者使用准备好的语句(米斯里，PDO)
  • 不要自己加反斜杠:当正确和良好的工作(和良好的测试)时为什么要这样做！转义函数已经存在了？

​

• 对于HTML，请使用htmlspecialchars或htmlentities实体。

不管怎样:不要再发明轮子了！

有许多类型的输出已经存在的转义函数/方法:使用这些函数/方法！

还请注意，您必须转义的东西(如果用户输入)是图像位置等。

如果某个人热链接到图像(例如，化身)，则如下所示

http://yoursite.com/admin/user/delete/1

然后您的视图中的代码是

<img class="avatar" alt="<?php echo $userName; ?>" src="<?php $avatarUrl; ?>" />

如果您以管理员身份登录，那么您可能会意外地删除用户。当然，希望这种删除可以通过post来完成，但仍然可以避免。

在这种情况下，htmlspecialchars()帮不上忙。

通过强制使用post的所有数据更改方法，攻击者可能会变得更加困难；通过为每个delete操作生成一个令牌，并在删除之前对其进行验证，几乎是不可能的。

我就是这样用的：

function escape($sql) {
    // Stripslashes
    if (get_magic_quotes_gpc()) {
        $sql = stripslashes($sql);
    }
    //if this is the intedger
    if (!is_int($sql) || $sql == '0') {
        $sql = "'" . mysql_real_escape_string($sql) . "'";
    }
    return $sql;
}

在MySQL查询中

mysql_query("SELECT SQL_CACHE * FROM `page` WHERE `id` = ".escape($_GET['id'])." LIMIT 1");