-1
這種方式是否安全以將數據插入數據庫?避免MySQL注入和XSS
$var = mysql_real_escape_string(htmlspecialchars(stripcslashes($_POST["address"]), ENT_QUOTES, "ISO-8859-1"));
A
回答
2
沒有「銀彈」。
但可以說是防範SQL注入的最有效的方法之一是使用準備好的語句:
http://dev.mysql.com/doc/refman/5.0/en/sql-syntax-prepared-statements.html
另一個同樣有效的防禦是使用最現代化的,安全的MySQL的API:要麼mysqli的(面向對象)或PDO SQL:
http://php.net/manual/en/mysqlinfo.api.choosing.php
這裏是一個很好的鏈接鏈接關於SQL注入,以及如何減輕您的MYS風險QL代碼:
http://php.net/manual/en/security.database.sql-injection.php
兩項指引我會強烈建議您遵循:
1)你應該不使用舊的,過時的MySQL API的任何新的代碼。改用MySQLi或PDO。
2)您應該不是允許原始用戶輸入任何地方靠近SQL語句。仔細驗證您的輸入,並儘可能使用準備好的語句。
恕我直言......
+0
這個問題也針對XSS,我只是在從數據庫輸出時添加使用htmlspecialchars,而不是在插入數據庫時 –
相關問題
- 1. 避免MySQL注入Zend_Db類
- 2. 如何在PHP中避免SQL注入和XSS攻擊?
- 3. FILTER_SANITIZE_STRING是否足以避免SQL注入和XSS攻擊?
- 4. 爲什麼要逃避和避免XSS
- 5. 避免SQL注入
- 6. PHP - MySQL的避免SQL注入
- 7. 防止mysql注入和xss atack
- 8. 如何避免XSS攻擊
- 9. 使用mysql_real_escape_string和stripslashes避免SQL注入
- 10. 避免注入MongoDB和PHP的風險
- 11. Spring(MVC)SQL注入避免?
- 12. Guice:避免懶惰注入
- 13. 避免MySQL注入替換單引號和雙引號
- 14. 避免重複輸入MySQL和PHP
- 15. YII一堆插入 - 避免SQL注入
- 16. 檢查模式以避免XSS攻擊
- 17. 避免XSS漏洞 - 白名單?
- 18. 如何在php codeigniter中避免xss atack
- 19. 如何在解碼html時避免XSS
- 20. php和mysql - 避免緩存
- 21. ObjectMapper避免註釋
- 22. 如何在引用web url時避免mysql注入
- 23. 如何避免codeigniter中的sql注入
- 24. 如何避免easyhook多次注入dll?
- 25. 在PHP中避免SQL注入
- 26. Zend公司Db的避免SQL注入
- 27. 避免JavaScript注入,同時保持HTML?
- 28. 如何使用sp_executesql避免SQL注入
- 29. MongoDB如何避免SQL注入混亂?
- 30. 如何避免cookie的對象注入?
沒有。不是。您正在使用過時的數據庫庫。你也可以通過specialchars/stripslashes來摧毀你的數據。 –
沒有「銀彈」。但可以說,防止SQL注入的最有效方法之一是使用預準備語句:http://dev.mysql.com/doc/refman/5.0/en/sql-syntax-prepared-statements.html – paulsm4
可能的重複[如何防止SQL注入在PHP?](http://stackoverflow.com/questions/60174/how-to-prevent-sql-injection-in-php) –