我特林让我的PHP尽可能的安全,而我试图避免两个主要的事情是一个PHP函数来防止SQL注入和XSS
- MySQL的注射
- 跨端脚本(XSS)
这是我对MySQL的注射脚本:
function make_safe($variable) {
$variable = mysql_real_escape_string(trim($variable));
return $variable; }
http://www.addedbytes.com/writing-secure-php/writing-secure-php-1/
反对XSS,我发现这一点:
$username = strip_tags($_POST['username']);
现在我想两个凝聚成一个单一的功能。这是否是最好的方式? :
function make_safe($variable) {
$variable = strip_tags(mysql_real_escape_string(trim($variable)));
return $variable; }
抑或是mysql_real_escape_string已经防止XSS?最后,还有什么我可以添加到此功能,以防止其他形式的黑客?
没有魔杖,只是时刻保持警惕。 –
你和[PDO](http://php.net/manual/en/book.pdo.php)应该成为朋友! – Jacob
我真的不明白你们俩在说什么;) – LonelyWebCrawler