所以本周我将尽可能地保护我的PHP应用程序。我从数据库中检索了很多数据,所以我需要一些基本的技巧来帮助我保护下面的代码。
谢谢,我只是一个新手。
<?php
mysqli_select_db($connect,"users");
$select="select * from members";
$result=mysqli_query($connect,$select);
$row=mysqli_fetch_array($result);
//this is what i want to secure -- down
$a = $row['name'];
$b = $row['add'];
?>
感谢。
答案 0 :(得分:1)
使用htmlspecialchars()在浏览器中显示的用户输入/数据库中对所有内容进行编码,以避免XSS。
答案 1 :(得分:0)
您基本上需要在将数据发送到数据库之前(针对SQL注入)以及输出到html(针对XSS)之前保护安全。这些东西很重要,而在你的脚本中几乎所有东西都是无害的(并且可能导致后续代码出错,顺便说一下。)
答案 2 :(得分:0)
第一方面,在数据库中输入数据时是否有任何安全性? 如果您在插入数据库时没有清理数据,则代码可能会被SQL Injection加密。为此 - 请检查此功能http://php.net/manual/en/mysqli.real-escape-string.php
另一件事是,html和javascript可以插入到您的数据库中,如果您没有将其转义并使用将该数据打印到HTML,那么您可以转发Cross-Site-Scripting。您应该使用http://bg.php.net/manual/en/function.htmlentities.php转义数据。或http://bg.php.net/manual/en/function.htmlspecialchars.php
安全性是一个很大的话题,但这可能是一个开始 - 首先逃避输入,然后处理输出。