這是否有點過分，還是我做正確的事情？

Question

可能重複：
Best way to prevent SQL injection?

對於登錄：

$username = mysql_real_escape_string(htmlspecialchars(strip_tags(trim($_POST['username'])), ENT_QUOTES)); 
$password = mysql_real_escape_string(htmlspecialchars(strip_tags(trim($_POST['password'])), ENT_QUOTES)); 

將數據插入我重新使用相同的mysql_real_escape_string(htmlspecialchars(strip_tags(trim(...

我覺得這是不好的做法，因爲我是使用這麼多的功能...這是防止mysql注入的正確方法&防止xss注入？還是完全過度？一切工作正常，沒有什麼是壞的 - 我的問題確實是，我是否在配對時使用過時的東西？是否只有一個功能可以用來完成這項工作？

謝謝。

Answer 1

如果我使用<mysecretpassword>作爲密碼該怎麼辦？

它會被剝離，任何人都可以登錄爲我。

我認爲你應該保存用戶名和密碼原樣，並且只有在顯示它們時才執行htmlspecialchars。

strip_tags似乎是不必要的，在這裏所有的，除非你真的不喜歡的用戶名像BlaBla aka Yada-Yada <C00lHax0r>

Answer 2

mysql_real_escape_string應該是足夠了...你應該檢查其他的東西當用戶註冊自己

Answer 3

你沒從MySQL注入保護，但你存儲的字符串是遙遠從原來的格式。 當您拉動字符串OUT並回應時，應使用strip_tags，htmlspecialchars和trim等函數。

原因在於，有時您可能希望將字符串設置爲其原始格式，例如，您可以剝去一些標籤，而不是所有標籤 - 或者您可能希望僅使用htmlspecialchars而不剝離任何標籤。關鍵在於能夠輕鬆地將字符串轉換爲顯示時所需的字符串。 這意味着，您需要保持原始格式的字符串。爲了做到這一點 - 你不要strip_tags或htmlspecialchars它。

另一件事是，每個人和他們的祖父母都在使用PDO，您可能想要開始使用它，因爲它確實使您免受SQL注入的影響。

Answer 4

的strip_tags的事情是沒有必要的。

對於編碼舒適，你可能要創建一個函數來此爲您提供：

function escape_everything($something) 
{ 
    return mysql_real_escape_string(htmlspecialchars(strip_gpc(trim($something)), ENT_QUOTES)); 
} 

function strip_gpc($something) 
{ 
    return get_magic_quotes_gpc() ? stripslashes($something) : $something; 
} 

這種方法有一些問題雖然。它只適用於發送到數據庫的數據，更重要的是，您正在保存數據html編碼的數據。如果將來您想從保存在數據庫中的數據中生成PDF，那麼首先需要htmlspecialchars_decode()，所以它可能有點不方便（但很容易解決）。

Answer 5

以下是大多數答案的建議。

$username = mysql_real_escape_string(trim($_POST['username'])); 

$password = md5("mysalt".mysql_real_escape_string(trim($_POST['password'])));