为了确保安全,PHP需要对提交的数据做哪些过滤? 以最简单的用户登录为例吧,$_POST['username'],$_POST['password'],需要经过哪些必要的验证后才能进行SQL查询? 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 至少需要转义单引号来防止SQL注入,以及对< >等转义来防止XSS攻击。有一些现成的函数 htmlspecialchars($_POST['username'], ENT_QUOTES) 这个叫 mysql Injection 吧,参考:http://php.net/manual/en/security.database.sql-injection.php解决方案 http://stackoverflow.com/questions/60174/best-way-to-stop-sql-injection-in-php主要防引号转义 mysql_real_escape_string同时有条件的话,过滤掉 drop. delete, insert, update 等字眼。 对sql查询来说,只需要mysql_real_escape_string,这个是为确保sql能正确执行,但同时也可以防止一部分安全问题.如果你对数据有其它要求,可以进行其他验证和过滤,比如用户名/密码的长度,允许字符等,但这些取决于你的业务需求.对可能输出的内容,才需要做html entity等的转换或过滤,具体也要根据实际业务来决定.总而言之,没需求,无方案 单引号,双引号,防止sql注入。 数据库编码GBK,页面是UTF8 php发邮件最好用什么办法呢 新配置好的apache为什么无法远程访问 高手帮忙,mysql如果判断两个时间差半小时! 求一个浮点数的转换方法 php新手问题 PHP新手,看点什么书好,各位大虾帮忙介绍一下,如果有下载地址就更感谢了 如何判断手机号的所属通信商 win98下的apache+php+mysql哪里有的下? 为什么从from 中传过来的值会没有认到! php连接mssql的问题 Warning: mssql_connect() [function.mssql-connect]: 帮我想个数组.
有一些现成的函数 htmlspecialchars($_POST['username'], ENT_QUOTES)