隐藏来自数据库的PHP URL参数
所以我是PHP的菜鸟,我正在尝试保护我使用PHP获取唯一页面的url参数,目前他们对跨站点脚本开放,并想知道如何解决这个问题?
<?php if ($result = $link->query("SELECT league_name, role, start_date,
end_date, joincode, active
FROM leagues
WHERE unique_id='$unique_id'", MYSQLI_USE_RESULT))
while($row = $result->fetch_assoc()){ ?>
<tbody>
<tr>
<td scope="row" data-label="League Name"><a class="action" href="leagueinfo.php?league_name=<?php echo $row['league_name']; ?>&joincode=<?php echo $row['joincode']; ?>"><?php echo $row['league_name'] ?></a></td>
</tr>
<?php } $result->close(); ?>
</tbody>
</table>
<?php mysqli_close($link); ?>
所以我需要找到一种方法来确保不会发生这种情况:
2 个答案:
答案 0 :(得分:0)
您可以使用PDO,预处理语句提供了一种防止SQL注入的好方法: 1.使用空值作为占位符准备查询。 2.将值绑定到占位符。 3.执行您的查询。
//PDO
$stmt = $link->prepare("SELECT league_name, role, start_date, end_date, joincode, active FROM leagues WHERE unique_id=:id");
$stmt->bindParam(':id', $id);
$stmt->execute();
答案 1 :(得分:0)
需要编码一些不同的值:
-
应该为MySQL转义
-
$unique_id,否则应该参数化查询。 (见prepared statements。)
网址中的 -
league_name和joincode应该是网址编码,这也会删除html特殊字符。 (见rawurlencode)
锚文本中的 -
league_name应采用html编码(请参阅htmlspecialchars)。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?