Home > Backend Development > PHP Tutorial > 为了确保安全,PHP需要对提交的数据做哪些过滤?该怎么处理

为了确保安全,PHP需要对提交的数据做哪些过滤?该怎么处理

WBOY
Release: 2016-06-13 10:21:55
Original
888 people have browsed it

为了确保安全,PHP需要对提交的数据做哪些过滤?
以最简单的用户登录为例吧,$_POST['username'],$_POST['password'],需要经过哪些必要的验证后才能进行SQL查询?

------解决方案--------------------
至少需要转义单引号来防止SQL注入,以及对等转义来防止XSS攻击。
有一些现成的函数 htmlspecialchars($_POST['username'], ENT_QUOTES)
------解决方案--------------------
这个叫 mysql Injection 吧,参考:

http://php.net/manual/en/security.database.sql-injection.php

解决方案 

http://stackoverflow.com/questions/60174/best-way-to-stop-sql-injection-in-php

主要防引号转义 mysql_real_escape_string

同时有条件的话,过滤掉 drop. delete, insert, update 等字眼。

------解决方案--------------------
对sql查询来说,只需要mysql_real_escape_string,这个是为确保sql能正确执行,但同时也可以防止一部分安全问题.

如果你对数据有其它要求,可以进行其他验证和过滤,比如用户名/密码的长度,允许字符等,但这些取决于你的业务需求.

对可能输出的内容,才需要做html entity等的转换或过滤,具体也要根据实际业务来决定.

总而言之,没需求,无方案

Related labels:
source:php.cn
Statement of this Website
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn
Popular Tutorials
More>
Latest Downloads
More>
Web Effects
Website Source Code
Website Materials
Front End Template