我正在通过PHP从MySQL数据库中检索一个html文档,它在样式标记中有分号,如下所示
style="background-color:black;display:block"
我有引号的问题,并用斜线转义它们但是我不能用分号做同样的事情。有没有办法逃避这个?
答案 0 :(得分:0)
我向所有人道歉我没有意识到逃避分号是sql注入的基础,我将探索替代方案。
这是我做的,我做了一个替换“;”并将其替换为“\”style = \“”,以便不是将属性串联在一个样式标记中,而是将它们放在单独的样式属性中。当Firefox解释它时,它将它们组合成一个。