在使用表单(FOS的注册表单)时,我eduardo改为使用标签将其保存到数据库中.我真的不明白为什么使用参数可以防止SQL注入......
为什么标签会像这样持久存储到数据库中?...WHERE p.name > 'edouardo' OR '1'='1'
(所以情况总是如此).
" eduardo "是一个完全有效的值.在某些情况下,您需要将其另存为提交(例如内容管理系统).当然...,当你从数据库中取出并直接输出时,它可能会破坏你的HTML.这应该通过你的模板引擎来解决(树枝会自动逃脱它)....SQL代码的值,以便此恶意程序不会被执行,而是存储在字段中,就像它应该的那样....HTML代码注入是另一个问题,与数据库无关.通过使用自动输出转义显示值时,此问题得以解决,而自动输出转义将显示eduardo而不是eduardo.这样,任何恶意的js/html代码都不会被解释:它将被显示