我使用PDO预处理语句来防止MySQL注入,但是我应该做些什么来消除用户输入?用户只会看到自己的输入,而其他人的输入则是“朋友”。我需要做些什么才能消毒输入?
我不认为魔术引号已启用,我不会想到用户可能会弄乱我的网站,但我是新手,所以我不确定。
提前致谢!
答案 0 :(得分:0)
如果您使用预备语句,则you shouldn't have any issue with MySQL injection。
如果应用程序专门使用预准备语句,则开发人员 可以确定不会发生SQL注入(但是,如果是其他的话) 部分查询是使用未转义的输入SQL构建的 注射仍然可能)。
但是,您可能会考虑使用sanitizing your output,例如仅显示某些HTML标记(如果有的话),以避免与某人搞乱网站布局的问题,或者更糟糕的是,执行任意JavaScript。