我正在构建一个评论网站,允许用户提交将存储在MySQL数据库中的评论。评论将由我手动审查内容,然后显示在我的网站上。这里是我的清洗数据的自定义功能(表单上的每个项目传递给此功能):对我的表单安全性的意见提交/显示
function cleanDataForDB($data) {
$data = trim(htmlentities(strip_tags($data)));
if (get_magic_quotes_gpc())
$data = stripslashes($data);
$data = mysql_real_escape_string($data);
return $data;
}
一旦被批准我没有写脚本来显示评论但是我打算只是通过html_entity_decode()函数从我的MySQL表中传递所有字段并将它们写入我的页面的HTML。
有没有人在这个计划中看到任何明显的安全漏洞?这对我来说似乎很安全,但这是我建立的第一个允许用户提交数据的站点,所以我想确保我不会让自己变得脆弱。
谢谢!
魔术引号更正应该在一个中心位置进行一次。有关`if(get_magic_quotes_gpc()){$ _POST = array_map(“stripslashes”,$ _POST); $ _GET ...}` – mario 2010-11-24 00:42:06