在我的註冊表單中,如果用戶禁用註冊表單的javacript驗證並嘗試插入值<script>alert("hacked")</script>
,那麼將此值插入到我的數據庫表中。 你能幫我嗎我該如何保護我的應用程序免受這種類型的問題?是否有任何不允許包含script-tag或html-tag的數據的mysql函數?
謝謝。
在我的註冊表單中,如果用戶禁用註冊表單的javacript驗證並嘗試插入值<script>alert("hacked")</script>
,那麼將此值插入到我的數據庫表中。 你能幫我嗎我該如何保護我的應用程序免受這種類型的問題?是否有任何不允許包含script-tag或html-tag的數據的mysql函數?
謝謝。
好吧mysql
有REPLACE()
這個功能。
但在你的情況下,你可以使用strip_tags
這將逃脫所有的html
標籤。
$name = strip_tags($_REQUEST['name']);
如果你不想被插入
echo strip_tags(str_replace(array('"','/','(','*',':','=','^','#',';'),'',$name);
這任何特殊字符將把所有剩餘的字符串。
更多信息參見Manual
嗨Barmar, 不,問題是,如果我刪除javascript驗證,並簡單地插入數據()在數據庫中使用post方法。它去我的datbase表,我不希望這 – vin