What is the industry standard to filter input from users (both POST and GET) to avoid SQL injections and things of that nature. So far I am using filter_input() and mysql_real_escape_string() functions? Is that enough and if not, what other methods I should use?
5条回答 默认 最新
dtwr2012 2011-02-23 07:53关注An important rule to live by is FIEO. Filter Input Escape Output.
ANY information that you take and store from a user must be filtered server-side, in order to do this you should be using
mysql_real_escape_string. It always should be the last thing you should before adding the value to the database. Validate the users input, ensure it is what you want, remove any symbols or tags if you need to using Regular Expressions, check its length and any other rules - do all this, then finally apply the MySQL functionmysql_real_escape_string.ANY information that you are displaying on your webpage that is dynamic - i.e. has come from a database of user-generated content or has directly come from user input must then be escaped. You must URL encode any symbols, remove (or encode) any HTML tags.
I highly recommend you watch this presentation on web security by expert Chris Shiflett:
http://www.slideshare.net/shiflett/evolution-of-web-security
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报
分享
- 2011-02-23 05:41回答 5 已采纳 An important rule to live by is FIEO. Filter Input Escape Output. ANY information that you take a
- 2018-05-19 22:51回答 1 已采纳 You will have to search for cities and add category property to the data you are sending to your a
- 2018-09-22 11:13回答 1 已采纳 Decode the json, restructure the data, re-encode. Code: (Demo) // your $json = foreach (json_de
- 2020-12-19 13:07PHP 过滤器用于验证和过滤来自非安全来源的数据,比如用户的输入。 什么是 PHP 过滤器? PHP 过滤器用于验证和过滤来自非安全来源的数据。 验证和过滤用户输入或自定义数据是任何 Web 应用程序的重要组成部分。 ...
- 2022-11-12 15:04回答 1 已采纳 文章:PHPEXCEL 20万数据导入导出(一) 中也许有你想要的答案,请看下吧
- 2013-10-05 18:56回答 3 已采纳 In pseudo code #filter doubles cards = array_unique(cards) sort(cards) foreach cards as key, val
- 回答 1 已采纳 Yes, it's almost always enough to use them. However, depending on each query you do or each page c
- 2021-01-20 00:20PHP 过滤器用于验证和过滤来自非安全来源的数据,比如用户的输入。 什么是 PHP 过滤器? PHP 过滤器用于验证和过滤来自非安全来源的数据。 验证和过滤用户输入或自定义数据是任何 Web 应用程序的重要组成部分。 设计...
- 2010-02-25 20:10回答 3 已采纳 filter_var() is a good start. If you are planning on using these inputs in any type of SQL stateme
- 2015-01-22 06:19回答 4 已采纳 Using where condition is the best choice because this query will run faster that the first one. In
- 2017-03-15 22:23回答 3 已采纳 Those strings are serialized variables. Arrays specifically. use unserialize() to get the array
- 2019-07-11 11:14<?php namespace DMS\Filter; class Filter implements FilterInterface...通过使用过滤器,您能够确保应用程序获得正确的输入类型。您应该始终对外部数据进行过滤!输入过滤是最重要的应用程序安全课题之一。
- 2022-10-18 14:17回答 2 已采纳 核心文件混淆过的。。。没搞头。。过滤有输出什么特别的内容吗?用Dreamweaver之类的编辑软件搜索下输出内容看是否找得到匹配的内容。。
- 2016-08-09 23:10爱代码也爱生活的博客 过滤是Web应用安全的基础。它是你验证数据合法性的过程。通过在输入时确认对所有的数据进行过滤,你可以避免被污染(未过滤)...把识别输入作为第一步是因为如果你不知道它是什么,你也就不能正确地过滤它。输入是指所
- 2021-03-25 10:14三符的博客 21M语言:中文 评分:7.5标签:立即下载PHP输入和输出流是通过php://来访问的,它允许访问 PHP 的输入输出流、标准输入输出和错误描述符, 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。...
- 没有解决我的问题, 去提问
悬赏问题
- ¥15 一直显示正在等待HID—ISP
- ¥15 Python turtle 画图
- ¥15 关于大棚监测的pcb板设计
- ¥15 stm32开发clion时遇到的编译问题
- ¥15 lna设计 源简并电感型共源放大器
- ¥15 如何用Labview在myRIO上做LCD显示?(语言-开发语言)
- ¥15 Vue3地图和异步函数使用
- ¥15 C++ yoloV5改写遇到的问题
- ¥20 win11修改中文用户名路径
- ¥15 win2012磁盘空间不足,c盘正常,d盘无法写入