我正在使用大量XML Feed来检索数据(来自外部源)。我将检索数据,然后将其发送到我自己的MySQL数据库,以便我可以按照自己的意愿操作它。
我希望就这个过程提出一些关于最佳实践的建议。我希望尽可能自动化,但我谨慎地将未经验证的XML数据从外部源直接发送到我自己的数据库。
我将实施一些标准验证以逃避字符串等,但我是否应该期待清理'在提交到我自己的数据库之前(自动)每一段数据?
我是否可以在它进入我的数据库之前根据它自己的一套规则验证每一条数据?
我希望它足够清楚。如果可能的话,我很乐意听到一些意见。
答案 0 :(得分:0)
您应该担心两件事:1 sql injection 2跨站点脚本。
第一个很简单,只需使用准备好的状态mysqli或PDO。
对于corss-site脚本,您可以选择在将其放入数据库之前或检索它时进行清理。我个人喜欢做第二个。只需在回显某些内容之前使用函数htmlspecialchars(),你就应该是安全的。