我想知道下面的HTML代码(与处理时的htmlspecialchars一起)是否足以阻止SQL注入:
<input name="email" type="email" required id="email" placeholder="Your Email Address" title="Valid email required" autocomplete="on" maxlength="50">
只要在将htmlspecialchars发送到我的数据库之前使用htmlspecialchars,这是否会阻止危险的变量操作?或者,黑客可以使用哪种解决方法来输入他们想要的任何格式?
我将使用预备语句和绑定参数。我担心的是,如果某人使用较旧的浏览器或设备,那么HTML验证会像&#34;所需&#34;或者输入=&#34;电子邮件&#34;还在工作。有人能以某种方式绕过他们吗?当我在发送到数据库之前处理这个问题时,我需要知道我的PHP代码中的错误处理...我想...对不起,我对此有点新意,所以我希望我有意义
答案 0 :(得分:1)
您可以使用绑定参数在数据库中添加值。
你必须看看Bind Params with PDO。它比使用变量执行查询更安全。
此外,您可以使用Xss Cleaner显示数据库中的结果。这个功能比htmlspecialchars快一点。