对于安全的网址查询,什么更安全? filter_var($string, FILTER_SANITIZE_SPECIAL_CHARS)或htmlentities?
答案 0 :(得分:3)
第一个显然是为此目的而设计的。
答案 1 :(得分:1)
你在为什么辩护?漏洞很大程度上取决于数据的使用方式。它不可能创建一个防止一切的函数调用,混合保护系统(如xss和sql注入)是一个非常糟糕的主意。
对于XSS,您应该使用:htmlspecialchars($var, ENT_QUOTES);
对于mysql中的Sql Injection,您应该使用mysql_real_escape_string($var);
如果您要将用户输入传递给system()或其他类似功能,那么您应该使用escapeshellarg($var);
这些是前三名,混合这些只会导致问题。