0
我正在使用mysqli();要在我的網站上插入和檢索數據,我還使用了bind_param,因此我不直接向查詢中添加變量。我使用strip_tags來清除任何輸入,我還應該注意什麼?關於數據庫安全
Q
關於數據庫安全
A
回答
0
請勿在數據庫輸入上使用strip_tags():在瀏覽器輸出上使用htmlentites()(或urlencode())。
相關問題
- 1. 關於數據庫通信安全
- 2. 安全關閉數據庫
- 3. 「關係型數據庫」安全嗎?
- 4. 數據庫安全
- 5. 關於數據包嗅探,安全網絡有多安全?
- 6. 關於代碼resue,安全和數據庫共享
- 7. 數據庫安全性不夠安全
- 8. 關於內存數據庫與線程安全數據結構的建議
- 9. 數據庫安全(phpmyadmin)
- 10. Sqlite數據庫安全
- 11. 安全SQLite數據庫
- 12. HTML5 Web數據庫安全
- 13. 火鳥數據庫安全
- 14. SQL Server數據庫安全
- 15. 數據庫憑據的安全存儲
- 16. 關於WCF安全 - 證書
- 17. 關於線程安全
- 18. 關於線程安全
- 19. 關於machinekey的安全性
- 20. 關於網站和數據庫安全的論文 - 需要一些指針
- 21. 關於設計數據庫
- 22. 關於數據庫同步
- 23. 關於Android數據庫
- 24. 關於MySQL數據庫
- 25. 關於數據庫設計
- 26. H2數據庫:關於INFORMATION_SCHEMA
- 27. 關於數據庫結構
- 28. 不止一次關閉SQLite數據庫安全嗎?
- 29. 如何安全關閉光標和數據庫?
- 30. Bluemix安全網關與MySQL數據庫的JDBC連接
這可能看起來像一個愚蠢的q,但爲什麼我不應該使用strip_tags? – andrei 2010-11-01 14:01:08
@andrei - 'strip_tags'與數據庫安全無關; 'htmlentities'和'urlencode'都沒有。他們是爲了解決XSS。輸入處的'strip_tags'不能解決XSS。解決XSS的正確方法是輸出編碼。有關更多信息,請參閱http://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)._Prevention_Cheat_Sheet#Untrusted_Data – 2010-11-01 14:59:01
「輸入strip_tags無法解決XSS」我以爲它確實><;感謝這篇文章 – andrei 2010-11-01 15:04:08