有很多关于如何清理数据的信息,但我找不到任何关于返回清理数据的信息。我有用户输入进入我的数据库,所以我清理它,但现在我将它返回到我的应用程序,并觉得整个消毒点是没有注射或前端发生任何事情。
基本上,我正在使用带有FILTER_SANITIZE_SPECIAL_CHARS选项的filter_var来清理我的php脚本中的用户输入:
filter_var($variables, FILTER_SANITIZE_SPECIAL_CHARS)
然后,当调用另一个函数时,我会返回相同的数据,比如一个人的名字,然后数据返回:
数据输入:
Mc'Example & Person
从Javascript应用程序调用时返回的数据:
Mc'Example & Person
我的问题是,让我说我打电话给html_entity_decode(),这不会让前端开放攻击吗?我该如何解决这个问题?
澄清:
IncredibleHat为我澄清,但我担心前端会受到影响
<script> bad stuff </script> John Example Smith
由于我正在解码回前端,所以输入了一些。