如何删除PHP中的危险字符

时间:2010-06-01 13:20:43

标签: php

我必须从查询帖子字符串中删除危险字符。是否有任何函数在php中定义直接删除或以其他方式删除?

5 个答案:

答案 0 :(得分:1)

首先,您首先使用这些字符串?

  • 如果将它们存储在数据库中:使用参数化查询(使用mysqliPDO而不是mysql)。
  • 如果您在网页中显示它们:使用htmlspecialchar过滤HTML代码
  • 如果您将redirect用户用于某个页面:filter \ n和\ r \ n字符
  • 如果您使用它发送emails:过滤器\ n和\ r \ n字符
  • 如果您想避免CSRF:请不要忘记查看您在表单中添加的随机令牌
  • 如果您使用它来获取系统上文件的路径:请不要
  • 无论你做什么,都不要忘记使用filter_input功能获取处理magic_quotes的数据

不要忘记查看OSWAP top 5

答案 1 :(得分:0)

我希望你不要把sql查询放到GET字符串中......但无论如何。

如果是查询,请使用mysql_real_escape_string

答案 2 :(得分:0)

通常情况下,我们可以在php中使用addslashesstripslashes

但更好的方法是使用mysql_real_escape_string进行查询以避免这种类型的SQL注入。

答案 3 :(得分:0)

Filter输入?

答案 4 :(得分:0)

使用strip_tags()htmlspecialchars()htmlentities()

相关问题
最新问题