我想从用户检查我的数据XSS和SQL注入,这是我怎样努力如何防止对XSS和SQL注入
if (isset($_GET['membernumber']))
{
$mem = htmlentities($_GET['membernumber']);
$memberparamter = cleanData($mem);
}
但哪种方法是检查最好/正确的方法是什么?
方法1
function cleanData($data)
{
$data=mysql_real_escape_string($data);
$data=trim($data);
$data=stripcslashes($data);
$data=htmlspecialchars($data);
$data=strip_tags($data);
return $data;
}
方法2
function cleanData($data)
{
$data=mysql_real_escape_string($data);
$data=trim($data);
$data=strip_tags($data);
return $data;
}
方法3
htmlspecialchars(stripcslashes(trim($data)))
使用准备好的语句,它会照顾所有这些障碍 – Achrome
应该membernumber是一个int?为什么不使用'intval($ _ GET ['membernumber'])'? – Ladadadada
是的,它应该是一个int – Zaz