Question

人可以幫我加入用htmlspecialchars防止XSS在此代碼：

<?PHP 
    if(isset($_POST['update'])) { 
     $ts=$_POST['ts']; 
     $user=$_POST['user']; 

     mysql_query("UPDATE users SET block_newfriends='". mysql_real_escape_string($ts). "' WHERE username='" .mysql_real_escape_string($user) . "'"); 
     echo '<div class="rounded-container">'; 
     echo '<div class="rounded-green rounded-done">'; 
     echo '<b>reload</b><br>'; 
     echo '</div>'; 
     echo '</div>'; 
    } 
?> 

我不知道往哪裏放他們，這應該是在開機自檢功能吧？

Answer 1

與替換$ TS和$用戶線：

$ts=htmlspecialchars($_POST['ts']); 
$user=htmlspecialchars($_POST['user']); 

然後獨自離開了查詢，那麼它會在剝離價值的htmlspecialchars使用mysql_real_escape_string()。

Answer 2

你需要使它安全使用取決於你想要做什麼不同的功能：

當輸出到HTML，使其「HTML安全」在htmlspecialchars包裝。

echo 'Writing to browser ' . htmlspecialchars($_POST['t']); 

當您輸出到SQL時，通過將其轉義爲sql來使其成爲「sql安全」（請參閱​​下面的註釋）。

$sql = 'UPDATE table SET field="' . mysql_escape_string($_POST['t']); 

當您輸出到一個URL時，通過轉義爲url來使其成爲「網址安全」。

$link = 'http:/example.com?value=' . urlencode($_POST['t']) 

類似的規則適用於JSON編碼，輸出到XML等

---

注意MySQL的：你是正確的逃跑，但你使用的是PHP中不再存在的功能（你因此使用PHP的舊版本）。請在手冊中檢查mysqli或pdo，然後使用這些功能。