全球主机交流论坛

标题: 一个最简单的PHP,如何有效的防止注入和xss [打印本页]

作者: shop 时间: 2021-3-11 13:06
标题: 一个最简单的PHP,如何有效的防止注入和xss
本帖最后由 shop 于 2021-3-11 13:08 编辑

php一知半解，代码都是摘自百度，请教php大佬，如何有效的防止注入和xss

(, 下载次数: 0)

作者: shop 时间: 2021-3-11 13:07
论坛不让传代码,只能截图了

作者: maro666 时间: 2021-3-11 13:07
get来的数据先过滤一遍

作者: hang6 时间: 2021-3-11 13:09
最简单办法把username正则一遍不允许特殊字符过

作者: 布鲁斯的月光 时间: 2021-3-11 13:09
用了预处理了，问题不大。

作者: 榆木 时间: 2021-3-11 13:11
pdo预处理已经可以了。 XSS需要把单双引号与尖括号实体化

作者: shop 时间: 2021-3-11 13:17
额,用了pdo预处理,注入就无效了,可以这样理解么?

楼上说的实体化,是要把get的参数这样处理么,有具体代码么,百度了下,看不太懂 = =

作者: 西行寺幽幽子 时间: 2021-3-11 13:26
用了预处理加参数绑定就免疫sql注入了
防xss的话用htmlspecialchars函数过一遍传入内容

作者: shop 时间: 2021-3-11 13:36
明白了,多谢~~

作者: Mr. 时间: 2021-3-11 13:41
这是两个分开的事

防注入最基本的是不要拼凑 sql 字符串，可以选择 pdo 预处理，也可以选择 orm 框架来操作数据库，或者超轻量级的 medoo

防 xss 不应该在入数据库之前传，进入数据库的应该是原始数据，因为后面可能会对原数据编辑修改或其它计算，应该从数据库拿出来之后，在展示之前（echo 到 html 的时候）做相应的处理

欢迎光临全球主机交流论坛 (https://sunk.eu.org/)