可以使用由於表單提交或任何其他請求而清理傳入輸入的函數嗎?這是節省時間,但有效性和效率的問題仍然困擾着我。例如,建議有一個在php中結合了兩個或更多內置消毒功能的santizing功能?
function clearSpecialChars($str)
{
$str=htmlentities($str);
$str=strip_tags($str);
$str=mysql_real_escape_string($str);
return $str;
}
,這樣,當我得到一個表單提交我做的:
$username=clearSpecialChars($_REQUEST['username']);
$email=clearSpecialChars($_REQUEST['email']);
從根本上說,我不希望從用戶的任何HTML輸入。
沒有放之四海而皆準的。所有這只是一個懶惰的嘗試 – Cheekysoft 2012-01-10 09:35:16
我不明白你的意思是,上述方法比一步一步地使用它們更容易? – jmishra 2012-01-10 09:36:50
一方面試圖解決SQL注入的漏洞,另一方面嘗試接近跨站腳本的脆弱性(雖然每個腳本都不能成功地完成任務,如果不是非常小心地使用它們,並且通常與其他工具結合使用),它們應該永遠不會按順序使用,因爲它們與彼此沒有任何關係。 – Cheekysoft 2012-01-10 09:42:10