这是否有点过分，还是我做正确的事情？

Question

可能重复：
Best way to prevent SQL injection?

对于登录：

$username = mysql_real_escape_string(htmlspecialchars(strip_tags(trim($_POST['username'])), ENT_QUOTES)); 
$password = mysql_real_escape_string(htmlspecialchars(strip_tags(trim($_POST['password'])), ENT_QUOTES)); 

将数据插入我重新使用相同的mysql_real_escape_string(htmlspecialchars(strip_tags(trim(...

我觉得这是不好的做法，因为我是使用这么多的功能...这是防止mysql注入的正确方法&防止xss注入？还是完全过度？一切工作正常，没有什么是坏的 - 我的问题确实是，我是否在配对时使用过时的东西？是否只有一个功能可以用来完成这项工作？

谢谢。

Answer 1

如果我使用<mysecretpassword>作为密码该怎么办？

它会被剥离，任何人都可以登录为我。

我认为你应该保存用户名和密码原样，并且只有在显示它们时才执行htmlspecialchars。

strip_tags似乎是不必要的，在这里所有的，除非你真的不喜欢的用户名像BlaBla aka Yada-Yada <C00lHax0r>

Answer 2

mysql_real_escape_string应该是足够了...你应该检查其他的东西当用户注册自己

Answer 3

你没从MySQL注入保护，但你存储的字符串是遥远从原来的格式。 当您拉动字符串OUT并回应时，应使用strip_tags，htmlspecialchars和trim等函数。

原因在于，有时您可能希望将字符串设置为其原始格式，例如，您可以剥去一些标签，而不是所有标签 - 或者您可能希望仅使用htmlspecialchars而不剥离任何标签。关键在于能够轻松地将字符串转换为显示时所需的字符串。 这意味着，您需要保持原始格式的字符串。为了做到这一点 - 你不要strip_tags或htmlspecialchars它。

另一件事是，每个人和他们的祖父母都在使用PDO，您可能想要开始使用它，因为它确实使您免受SQL注入的影响。

Answer 4

的strip_tags的事情是没有必要的。

对于编码舒适，你可能要创建一个函数来此为您提供：

function escape_everything($something) 
{ 
    return mysql_real_escape_string(htmlspecialchars(strip_gpc(trim($something)), ENT_QUOTES)); 
} 

function strip_gpc($something) 
{ 
    return get_magic_quotes_gpc() ? stripslashes($something) : $something; 
} 

这种方法有一些问题虽然。它只适用于发送到数据库的数据，更重要的是，您正在保存数据html编码的数据。如果将来您想从保存在数据库中的数据中生成PDF，那么首先需要htmlspecialchars_decode()，所以它可能有点不方便（但很容易解决）。

Answer 5

以下是大多数答案的建议。

$username = mysql_real_escape_string(trim($_POST['username'])); 

$password = md5("mysalt".mysql_real_escape_string(trim($_POST['password'])));