过滤php 5输入

Question

我开始学习PHP 5（我总是使用PHP 4），为此，我正在构建一个小型（非常简单）的CMS。 我在手册中看到他们添加了过滤变量的功能。 我的CMS必须处理页面内容的一些HTML内容。 这些函数（filter_input，filter_var，ecc ..）是否具有足够的清理过滤器？ 或者我是否需要构建更深层次的自定义函数？

Answer 1

是的，它几乎总是足以使用它们。但是，根据您执行的每个查询或您显示的每个页面内容，请记住，不那么特殊的字符也会导致意外。简言之，将

• 如果您插入mysql，请引用所有内容，不要让字符串包含未处理的引号。使用mysql_real_escape_string和他的朋友。
• 如果您写入文件，那么您就安全了 - 只记住您回读的内容。
• 如果您在输入字段中输入默认值，请注意您在＆＃34;值＆＃34;周围使用的相同引用。属性。恶意字符串会尝试关闭引号。
• 如果输出HTML，请使用html_special_chars以避免意外。如果你不处理它们，那么大符号和＆符是你的敌人。

清洁剂将为您完成剩余的工作（过滤低字符等）。