3
碼 -幫助PHP中的輸出
$price = mysqli_real_escape_string($connect,trim($results['price']));
價格從數據庫中檢索,然後利用呼應 -
echo $price;
的問題 - 這是來自XSS或SQL注入足夠安全?它只包含數字。
感謝
A
回答
4
的檢查應該可能數據輸入過程中完成的,但你可能是安全的,並檢查在輸出。我只是使用is_numeric或類似的東西來確保輸出的確是一個數字。
0
標準做法是使用htmlspecialchars()或htmlentities()將輸出轉義到瀏覽器以防XSS。但正如另一個答案中提到的那樣,真正的問題是,正確的數據是否首先存儲在數據庫中。在存入數據庫之前,應該對它進行適當的驗證和轉義。
0
爲了安全起見,您需要如果從用戶輸入輸入$results['price']。
如果您需要在將其發送到SQL之前將其強制驗證/清理爲預期值,
0
如果您的數據只能從db讀取,您可以使用mysqli_real_escape_string()忽略。這對於轉義應該寫入數據庫的用戶輸入非常有用。
0
mysqli_real_escape_string()用於轉義要插入到數據庫中的數據,以防止SQL注入。它與XSS無關。
你必須使用htmlentities()來做你想做的事情。我建議你閱讀eykanal的答案,並使用is_numeric來驗證。
相關問題
- 1. MySQL查詢幫助並輸出到PHP
- 2. Python:幫助組織列中的輸出
- 3. Java:文件輸出幫助
- 4. 幫助理解jstack輸出
- 5. LogCat輸出調試幫助
- 6. 限制Argparse幫助輸出
- 7. 幫助與列表輸出
- 8. 幫助輸出重複
- 9. 需要幫助集中文本輸出
- 10. 在WMIC輸出中需要幫助
- 11. 在knitr輸出中包含R幫助
- 12. 幫助C字符串輸入/輸出
- 13. 需要幫助的閱讀callgrind輸出
- 14. 訪問Matlab幫助命令的輸出
- 15. 小C++的幫助,請(重複輸出)
- 16. 正確的格式爲 - 幫助輸出
- 17. Cygwin的幫助微調輸出
- 18. 幫助的cookie php中
- 19. Java中的.jar的輸入/輸出幫助?
- 20. PHP的preg_replace幫助
- 21. PHP MySQL的@幫助
- 22. PHP的foreach幫助
- 23. PHP的foreach幫助
- 24. php cookies的幫助
- 25. sytnax幫助PHP
- 26. Magento幫助(PHP)
- 27. 幫助在PHP
- 28. 幫助在PHP
- 29. 幫助PHP session_destroy();
- 30. 幫助與PHP
是$ results ['price']用戶輸入? – CJD
@CJD no。它是mysqli_fetch_array – sarthak
只有在用戶操作寫入數據庫時纔會發生SQL注入。 –