所以,我们都知道,如果用户在输入中输入内容并将其放入数据库,我们必须使其安全(使用mysql_escape_string
等等。)
但是当我们将用户的输入添加到文件时,我们是否需要保护它(除了htmlspecialchars)?
谢谢。
答案 0 :(得分:1)
这在很大程度上取决于事后数据会发生什么。你不需要逃避它(因为没有像“文件注入”这样的东西),但是在将内容打印回浏览器时应该小心。 (strip_tags和/或htmlspecialchars)
答案 1 :(得分:0)
是否会以一种会使客户端进程/机器易受攻击的方式查看这些文件?
如果我将恶意的javascript脚本嵌入到您的计算机中,如果它是从数据库或浏览器中的文件显示的,那对您来说是否重要?
答案 2 :(得分:0)
通常,如果用户没有理由输入某个字符,则不要允许它。我通常通过白名单而不是黑名单来实现这些。定义有效字段的外观,并仅允许那些必需的字符。
答案 3 :(得分:0)
直接回答你的问题,编号