我在方法調用,SQL查詢和文件調用中使用$_GET
,$_POST
和$_COOKIE
變量 - 並且有必要將此用戶數據轉義/重寫爲更好的安全性(避免注入攻擊等)。你會如何推薦這樣做?保護用戶數據 - 用於方法調用,SQL和文件調用
從內置逃生功能......讓流動的果汁一些想法:
- 添加反斜槓:
\x00, \n, \r, \, ', "
和\x1a
使串安全的SQL查詢 - 在mysql_real_escape_string()。 - 將接受的字符數限制爲
[a-zA-Z0-9 _-\.]
(其中「\.
」是轉義的「。」 - 點)。
您的輸入將被讚賞。謝謝。
確保您,USINT的mysql_ *功能上面,如果你正在使用MySQL是前連接到MySQL。 – 2009-09-25 05:02:11
請勿在冒號,問號和感嘆號之前放置空格。這看起來很糟糕! – Gumbo 2009-09-25 08:23:14
@Gumbo:對不起,我通常使用法語輸入法語,並且在法語中,我們在這些語言之前放置了一個空格...並且我沒有反射信息來輸入英語時刪除這些空格... – 2009-09-25 10:10:06