PDO语句和XSS攻击
PDO语句和XSS攻击
提问于 2018-06-04 14:11:27
在驻留在本地主机服务器的页面中,我有一个POST参数。
$name = addslashes(trim($_POST['name']));在一个Update.php页面中使用PDO准备的语句,
当我尝试使用以下数据提交字段时,它将显示一个导致XSS攻击的警报弹出,因此如何防止此攻击,从而使SQL注入和XSS无法工作。
abc"><script>alert(1);</script>下面是我使用的SQL查询-
$query = "UPDATE table set name =? where id=?";
$stmt = $conn->prepare($query);
$stmt->execute(array($name,$id));谢谢
回答 1
Stack Overflow用户
回答已采纳
发布于 2018-06-04 14:18:23
代码注入是100%上下文敏感的。这并不是因为恶意用户键入“危险”字符而发生的。
- 若要将内容插入DB中,请去掉
addslashes()。您已经在使用准备好的语句将代码与数据分开。 - 要将字符串文字注入HTML代码,可以使用
htmlspecialchars()。 - 要将字符串文字注入JavaScript代码,可以使用例如
json_encode()。
…诸若此类。注入的次数和语言一样多,每种类型都需要独立处理。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/50682588
复制相关文章
相似问题
腾讯云开发者
