因爲我只研究PHP/HTML/MySQL作爲業餘愛好,所以我的知識很淺,所以請溫和。自動創建特殊字符的「ESCAPE」(如POST和GET)的新表單輸入方法的可行性
ESCAPE旨在幫助程序員防止SQL注入。是的,程序員應該更聰明,但只要最近的LulzSec愚蠢,我認爲W3C會採取一個很好的舉措來實現一種新的表單輸入方法,使得程序員更容易實現安全性。
我只知道PHP,所以我會說。基本上,而在此之前,我們有
$safeTagSearch = addslashes($_GET["tagSearchRaw"]);
我們現在有
$safeTagSearch = $_ESCAPE["tagSearchRaw"]);
如果tagSearchRaw = "cats in hats"
,它將被削減爲☃"cats in hats☃"
。 (Unicode的雪人是爲了說明這將如何與不同的轉義序列不同的語言。)
的$_ESCAPE
代碼將識別☃
的形式轉義字符和傳球\"cats in hats\"
到$safeTagSearch
之前做加工的一點點。
這完全可行嗎?
請注意,在標題中說「ESCAPE(如POST和GET)」會讓您聽起來像是在提出一個新的Web服務器動詞供瀏覽器使用。這很混亂。不知道PHP的人不會意識到你指的是* functions *'$ _GET []'和(可能?)'$ _POST []',它們檢索這些動詞提供給Web服務器的值。 – ErikE