> 백엔드 개발 > PHP 튜토리얼 > 为了确保安全,PHP需要对提交的数据做哪些过滤?该怎么处理

为了确保安全,PHP需要对提交的数据做哪些过滤?该怎么处理

WBOY
풀어 주다: 2016-06-13 13:32:11
원래의
833명이 탐색했습니다.

为了确保安全,PHP需要对提交的数据做哪些过滤?
以最简单的用户登录为例吧,$_POST['username'],$_POST['password'],需要经过哪些必要的验证后才能进行SQL查询?

------解决方案--------------------
至少需要转义单引号来防止SQL注入,以及对等转义来防止XSS攻击。
有一些现成的函数 htmlspecialchars($_POST['username'], ENT_QUOTES)
------解决方案--------------------
这个叫 mysql Injection 吧,参考:

http://php.net/manual/en/security.database.sql-injection.php

解决方案 

http://stackoverflow.com/questions/60174/best-way-to-stop-sql-injection-in-php

主要防引号转义 mysql_real_escape_string

同时有条件的话,过滤掉 drop. delete, insert, update 等字眼。

------解决方案--------------------
对sql查询来说,只需要mysql_real_escape_string,这个是为确保sql能正确执行,但同时也可以防止一部分安全问题.

如果你对数据有其它要求,可以进行其他验证和过滤,比如用户名/密码的长度,允许字符等,但这些取决于你的业务需求.

对可能输出的内容,才需要做html entity等的转换或过滤,具体也要根据实际业务来决定.

总而言之,没需求,无方案

관련 라벨:
원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿