0
我正在尋找一個很好的解決方案來防止mysql注入和xss atack。我讀過很多主題,但對我來說還不清楚。防止mysql注入和xss atack
我只想允許一些bb代碼,如[b],[i],[u]。就這樣。
能否請你告訴我,這是確定的:
<?php
$escape = array('input_one','input_two','get_ids_from_url','etc');
foreach($escape as $input)
{
if(isset($_POST[$input]))
{$_POST[$input] = mysql_real_escape_string(htmlspecialchars(strip_tags($_POST[$input]), ENT_QUOTES, 'utf-8'));}
if(isset($_GET[$input]))
{$_GET[$input] = mysql_real_escape_string(htmlspecialchars(strip_tags($_GET[$input]), ENT_QUOTES, 'utf-8'));}
}
?>
如果你想防止SQL注入,你應該使用PDO(http://net.tutsplus.com/tutorials/php/why-you-should-be-using-phps-pdo-for-database-訪問/)。這不是簡單的證明,但它比'mysql_'函數更安全。 – Stecman