我目前正在开发一个项目,从textarea中读取数据并将其提供给mysql数据库。我的问题是,如果我已经剥离html标签或将它们转换为实体,我真的需要使用html净化器来阻止mysql注入或任何攻击?
答案 0 :(得分:2)
为了防止mysql注入,您应该使用prepared statements。
对于其他攻击,对于XSS,您需要进行适当的输出转义。这是一块蛋糕。马特罗宾逊写了good introduction to the concept。 PádraicBrady指出it isn't as simple as that并最终建议使用像Twig这样的htmlspecialchars的包装器。 Zend还有一个转义库,它们都受到来自ESAPI的参考代码的启发,遗憾的是它没有production ready version for php。
请注意,我认为所有库let the comma pass through in javascript context都是漏洞。
如果您不想接受html输入,只需剥离html标签即可,您不需要使用html净化器。
答案 1 :(得分:0)
您需要添加转义引号'(addslashes php函数)。