为了确保安全,PHP需要对提交的数据做哪些过滤?
以最简单的用户登录为例吧,$_POST['username'],$_POST['password'],需要经过哪些必要的验证后才能进行SQL查询?
------解决方案--------------------
至少需要转义单引号来防止SQL注入,以及对等转义来防止XSS攻击。
有一些现成的函数 htmlspecialchars($_POST['username'], ENT_QUOTES)
------解决方案--------------------
这个叫 mysql Injection 吧,参考:
http://php.net/manual/en/security.database.sql-injection.php
解决方案
http://stackoverflow.com/questions/60174/best-way-to-stop-sql-injection-in-php
主要防引号转义 mysql_real_escape_string
同时有条件的话,过滤掉 drop. delete, insert, update 等字眼。
------解决方案--------------------
对sql查询来说,只需要mysql_real_escape_string,这个是为确保sql能正确执行,但同时也可以防止一部分安全问题.
如果你对数据有其它要求,可以进行其他验证和过滤,比如用户名/密码的长度,允许字符等,但这些取决于你的业务需求.
对可能输出的内容,才需要做html entity等的转换或过滤,具体也要根据实际业务来决定.
总而言之,没需求,无方案
0
0
为了确保安全,PHP需要对提交的数据做哪些过滤?该怎么处理
php中文网
发布时间:2016-06-13 13:32:11
|1023人浏览过
|来源于php中文网
原创
相关文章
如何在 PDO 中安全高效地批量更新多行数据(使用 CASE WHEN)
Laravel 中正确绑定多个参数到 SQL IN 子句的实践方法
如何在 PHP 中批量插入多维数组数据到数据库
PDO 绑定多组 WHEN/THEN 条件的高效安全更新方案
如何在 PDO 中安全高效地批量更新多行数据(CASE WHEN THEN)
本站声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
热门AI工具
