可以使用由于表单提交或任何其他请求而清理传入输入的函数吗?这是节省时间,但有效性和效率的问题仍然困扰着我。例如,建议有一个在php中结合了两个或更多内置消毒功能的santizing功能?
function clearSpecialChars($str)
{
$str=htmlentities($str);
$str=strip_tags($str);
$str=mysql_real_escape_string($str);
return $str;
}
,这样,当我得到一个表单提交我做的:
$username=clearSpecialChars($_REQUEST['username']);
$email=clearSpecialChars($_REQUEST['email']);
从根本上说,我不希望从用户的任何HTML输入。
没有放之四海而皆准的。所有这只是一个懒惰的尝试 – Cheekysoft 2012-01-10 09:35:16
我不明白你的意思是,上述方法比一步一步地使用它们更容易? – jmishra 2012-01-10 09:36:50
一方面试图解决SQL注入的漏洞,另一方面尝试接近跨站脚本的脆弱性(虽然每个脚本都不能成功地完成任务,如果不是非常小心地使用它们,并且通常与其他工具结合使用),它们应该永远不会按顺序使用,因为它们与彼此没有任何关系。 – Cheekysoft 2012-01-10 09:42:10