|
|
1
8
为了防止SQL注入,不需要“转义”查询字符串——应该使用准备好的语句。 理想情况下,您的输入过滤将在任何其他处理之前进行,因此您知道它将始终被使用。因为否则你只需要错过一个地方,就可以容易地遇到问题。 不要忘记在输出时对HTML实体进行编码-以防止XSS攻击。 |
|
2
2
您应该对每个HTML标记进行编码,而不仅仅是“无效”标记。这是一个热门的争论,但归根结底,总是会有一些无效的HTML组合,你会忘记正确处理(嵌套标签,不匹配的标签,一些浏览器解释“正确”等等)。因此,在我看来,最安全的选择是将所有内容存储为HTMLEntities,然后在输出时打印内容中经过验证的HTML安全子集树(作为Entities)。 |
|
|
3
1
在专用于该任务的库中运行所有服务器端验证,以使一个区域的改进影响到所有应用程序。 此外,还包括针对已知攻击的工作,例如目录遍历和访问shell的尝试。 |
|
|
4
1
这个问题/答案有一些很好的回答,您正在寻找
|
|
|
5
1
您可以查看 Filter Extension 用于数据筛选。它不能保证你完全不透气,但就我个人而言,使用它感觉好多了,因为代码有很多眼球在看它。 另外,考虑附议的准备声明。在SQL查询中转义数据是过去的事情。 |
|
|
cagta · 如何使用此python脚本避免硬编码sql表达式? 8 年前 |
|
|
John · MySQL php查询缺陷 8 年前 |
|
|
Arunabh · 在不使用预处理语句的情况下摆脱SQL注入 8 年前 |