我正在寻找一个正则表达式,以确保在我用PHP制作的guesbook中我不想要的东西中使用noboy haxes。例如,脚本,sqlinjections,html等。但我仍然希望用户能够尽可能多地使用字符(例如)(/?!。,“& -_),而不会使网站安全性降低。
关于正则表达式会是什么样子的想法?
答案 0 :(得分:3)
htmlspecialchars($output)
请注意htmlspecialchars有助于防止XSS,而不是SQL注入。要防止SQL注入,请使用预准备语句。为了防止CRSF,你可以做一些研究。
答案 1 :(得分:1)
将PDO或MySQLI与准备好的和绑定的语句一起使用。如果你做对了,你就不用担心正则表达式了 - 除非你真的想要过度杀死安全性;)