我有三本关于PHP或PHP& MySQL可能会合理地期望找到一些数据清理的报道,但我没有运气。是否有可靠的在线资源,涵盖了清理数据的基础知识,包括将数据放入数据库之前以及从数据库中提取数据之后显示数据?
答案 0 :(得分:1)
Stackoverflow就是这样一种资源。你的问题每天被问到两次。
我之前在这个主题上写了一个相当不错的答案:In PHP when submitting strings to the database should I take care of illegal characters using htmlspecialchars() or use a regular expression?
长话短说:对于动态mysql查询创建,你有四个不同的转义案例:
臭名昭着的PDO仅涵盖两个。
对于带有ENT_QUOTES的HTML htmlspecialchars,就足够了 但是,还有一些其他情况,例如文件名清理,邮件注入等
答案 1 :(得分:0)
Chris Shiflett写了一本名为Essential PHP Security的书。
答案 2 :(得分:0)
使用PDO和binding或适当的escape string function for mysql输入数据。
将htmlspecialchars与ENT_QUOTES一起使用,并在数据上显示正确的字符集以显示输出。