一个最简单的PHP,如何有效的防止注入和xss

shop · 发表于 2021-3-11 13:06:04

本帖最后由 shop 于 2021-3-11 13:08 编辑

php一知半解，代码都是摘自百度，请教php大佬，如何有效的防止注入和xss

73_W@GD]MKS@C5IZ}VGSMZT.png (30.64 KB, 下载次数: 0)

Mr. · 发表于 2021-3-11 13:41:19

这是两个分开的事

防注入最基本的是不要拼凑 sql 字符串，可以选择 pdo 预处理，也可以选择 orm 框架来操作数据库，或者超轻量级的 medoo

防 xss 不应该在入数据库之前传，进入数据库的应该是原始数据，因为后面可能会对原数据编辑修改或其它计算，应该从数据库拿出来之后，在展示之前（echo 到 html 的时候）做相应的处理

shop · 发表于 2021-3-11 13:07:08

论坛不让传代码,只能截图了

maro666 · 发表于 2021-3-11 13:07:56

get来的数据先过滤一遍

hang6 · 发表于 2021-3-11 13:09:17

最简单办法把username正则一遍不允许特殊字符过

布鲁斯的月光 · 发表于 2021-3-11 13:09:20

用了预处理了，问题不大。

榆木 · 发表于 2021-3-11 13:11:57

pdo预处理已经可以了。 XSS需要把单双引号与尖括号实体化

shop · 发表于 2021-3-11 13:17:23

额,用了pdo预处理,注入就无效了,可以这样理解么?

楼上说的实体化,是要把get的参数这样处理么,有具体代码么,百度了下,看不太懂 = =

西行寺幽幽子 · 发表于 2021-3-11 13:26:45

用了预处理加参数绑定就免疫sql注入了
防xss的话用htmlspecialchars函数过一遍传入内容

shop · 发表于 2021-3-11 13:36:04

明白了,多谢~~

		自动登录	找回密码
密码			注册