-1
这种方式是否安全以将数据插入数据库?避免MySQL注入和XSS
$var = mysql_real_escape_string(htmlspecialchars(stripcslashes($_POST["address"]), ENT_QUOTES, "ISO-8859-1"));
A
回答
2
没有“银弹”。
但可以说是防范SQL注入的最有效的方法之一是使用准备好的语句:
http://dev.mysql.com/doc/refman/5.0/en/sql-syntax-prepared-statements.html
另一个同样有效的防御是使用最现代化的,安全的MySQL的API:要么mysqli的(面向对象)或PDO SQL:
http://php.net/manual/en/mysqlinfo.api.choosing.php
这里是一个很好的链接链接关于SQL注入,以及如何减轻您的MYS风险QL代码:
http://php.net/manual/en/security.database.sql-injection.php
两项指引我会强烈建议您遵循:
1)你应该不使用旧的,过时的MySQL API的任何新的代码。改用MySQLi或PDO。
2)您应该不是允许原始用户输入任何地方靠近SQL语句。仔细验证您的输入,并尽可能使用准备好的语句。
恕我直言......
+0
这个问题也针对XSS,我只是在从数据库输出时添加使用htmlspecialchars,而不是在插入数据库时 –
相关问题
- 1. 避免MySQL注入Zend_Db类
- 2. FILTER_SANITIZE_STRING是否足以避免SQL注入和XSS攻击?
- 3. 如何在PHP中避免SQL注入和XSS攻击?
- 4. 为什么要逃避和避免XSS
- 5. 避免SQL注入
- 6. PHP - MySQL的避免SQL注入
- 7. 防止mysql注入和xss atack
- 8. 如何避免XSS攻击
- 9. 使用mysql_real_escape_string和stripslashes避免SQL注入
- 10. Spring(MVC)SQL注入避免?
- 11. 如何避免sql注入?
- 12. Guice:避免懒惰注入
- 13. 避免MySQL注入替换单引号和双引号
- 14. 避免重复输入MySQL和PHP
- 15. 避免XSS漏洞 - 白名单?
- 16. 如何在解码html时避免XSS
- 17. 检查模式以避免XSS攻击
- 18. 如何在php codeigniter中避免xss atack
- 19. 如何在引用web url时避免mysql注入
- 20. 如何使用sp_executesql避免SQL注入
- 21. 避免使用connection.execute进行sql注入
- 22. 避免JavaScript注入,同时保持HTML?
- 23. MongoDB如何避免SQL注入混乱?
- 24. PHP代码,以避免SQL注入
- 25. 避免sql注入ActiveRecord命令
- 26. 避免代码注入与MongoDB的
- 27. 在PHP中避免SQL注入
- 28. Zend公司Db的避免SQL注入
- 29. 如何避免codeigniter中的sql注入
- 30. 如何避免cookie的对象注入?
没有。不是。您正在使用过时的数据库库。你也可以通过specialchars/stripslashes来摧毁你的数据。 –
没有“银弹”。但可以说,防止SQL注入的最有效方法之一是使用预准备语句:http://dev.mysql.com/doc/refman/5.0/en/sql-syntax-prepared-statements.html – paulsm4
可能的重复[如何防止SQL注入在PHP?](http://stackoverflow.com/questions/60174/how-to-prevent-sql-injection-in-php) –