一个PHP函数来防止SQL注入和XSS

Question

我特林让我的PHP尽可能的安全，而我试图避免两个主要的事情是

• MySQL的注射
• 跨端脚本（XSS）

---

这是我对MySQL的注射脚本：

function make_safe($variable) { 
$variable = mysql_real_escape_string(trim($variable)); 
return $variable; } 

http://www.addedbytes.com/writing-secure-php/writing-secure-php-1/

---

反对XSS，我发现这一点：

$username = strip_tags($_POST['username']); 

---

现在我想两个凝聚成一个单一的功能。这是否是最好的方式？ ：

function make_safe($variable) { 
$variable = strip_tags(mysql_real_escape_string(trim($variable))); 
return $variable; } 

抑或是mysql_real_escape_string已经防止XSS？最后，还有什么我可以添加到此功能，以防止其他形式的黑客？

Answer 1

mysql_real_escape_string()不会阻止XSS。它只会使SQL注入变得不可能。

要与XSS战斗，您需要使用htmlspecialchars()或strip_tags()。 1st会将特殊字符如<转换为<，这些字符将显示为<，但不会执行。第二只是将所有标签剥离。

我不建议做特殊功能来做到这一点，或者甚至只有一个功能可以做到这一点，但是您所举的例子是可行的。我假设。

Answer 2

此功能：

function make_safe($variable) 
{ 
    $variable = strip_tags(mysql_real_escape_string(trim($variable))); 
    return $variable; 
} 

都不行

SQL注入和XSS是两个不同的野兽。因为它们每个都需要不同的转义，所以需要分别使用每个转义函数strip_tags和mysql_real_escape_string。
加入他们将击败每个人的安全。在将数据输入数据库时​​使用标准mysql_real_escape_string()。
使用strip_tags()在将数据输出到屏幕之前将数据从数据库中查询出来。

为什么两者结合功能是很危险的
从马口：http://php.net/manual/en/function.strip-tags.php

因为用strip_tags（）并不真正验证HTML，部分或破损的标签可能会导致删除的详细文本/数据超出预期。

因此，通过向数据库字段中输入格式错误的html，智能攻击者可以使用您的天真实施来击败组合中的mysql_real_escape_string()。

Answer 3

您真正应该关注的是使用prepared statements和PDO来为您的数据库提供一个抽象层以及完全根除SQL注入攻击。

至于XSS，请确保永远不要信任用户输入。当您存储数据或输出数据时（不是两者都会因为这会混淆输出）而运行strip_tags或htmlentities，并且您会一切正常。