清理所有數據的PHP函數

Question

清理可能是sqlinjected的所有數據是好的還是愚蠢的想法？我寫了一個應該這樣做的函數，但我從來沒有看到它完成，並想知道這是否是一個糟糕的主意。 功能我寫道：

function sanitizeData() 
{ 
    $_SERVER['HTTP_USER_AGENT'] = mysql_real_escape_string($_SERVER['HTTP_USER_AGENT']); 
    foreach(array_keys($_COOKIE) as $key) 
    { 
      $_COOKIE[$key] = mysql_real_escape_string($_COOKIE[$key]); 
    } 
    foreach(array_keys($_POST) as $key) 
    { 
      $_POST[$key] = mysql_real_escape_string($_POST[$key]); 
    }  
    foreach(array_keys($_GET) as $key) 
    { 
      $_GET[$key] = mysql_real_escape_string($_GET[$key]); 
    } 
} 

Answer 1

一個壞主意;這基本上是不推薦使用的magic_quotes的另一個版本。大部分數據可能不會進入數據庫，因此您最終會不必要地轉義，並可能發生雙重轉義。

而是根據需要使用預準備語句。看看mysqli_stmt（mysqli的一部分）和PDOStatement（PDO的一部分）。

Answer 2

理解mysql_real_escape_string不消毒任何東西也是非常重要的。
通過應用此功能，您不會使任何數據安全。這是非常普遍的誤解。
這個函數只是轉義字符串分隔符。所以，它只適用於字符串，引號分隔的字符串。 因此，真正的消毒可能僅是這樣的：

$_GET[$key] = "'".mysql_real_escape_string($_GET[$key])."'"; 

即使這個人是不夠的。

但正如馬特所說，這將是非常糟糕的做法。甚至更多：事實上，不僅輸入數據應該正確格式化/參數化。它是數據庫功能，不是用戶輸入的一個！它與用戶輸入無關。一些數據可能不是來自用戶輸入，而是來自文件或其他查詢或某種服務 - 它們都應該正確格式化。這是非常重要的理解。

此外，您正在使用一種奇怪的方式來迭代數組。
這個人是比較常見的：

foreach($_GET as $key => $value) 
{ 
     $_GET[$key] = mysql_real_escape_string($value); 
}