防止php注入

时间:2013-10-25 23:50:51

标签: php code-injection

我正在寻找阻止人们在php级别将PHP代码输入文本字段的所有方法。我有预防sql注入,但我不需要一种方法来防止人们说我的if语句搞乱?

$email=$_POST["email"];
if(filter_var($email, FILTER_VALIDATE_EMAIL))
{
    //do suff
}

用户不能输入“not @ a @ valid @ email.com = valid@email.com”之类的内容作为电子邮件,它将被视为有效。 我知道这个例子对于服务器来说并不坏,但我确信其他人并且更加致命。

或者我担心一些从来没有问题的东西?

1 个答案:

答案 0 :(得分:1)

这不是问题,因为用户数据是字符串的。与说:

没什么两样 
filter_var("die()", FILTER_VALIDATE_EMAIL)

这也不会杀死你的程序。这只是文字。

请勿使用eval。从来没有,但特别是用户输入。

相关问题
最新问题