使用 PHP,在 MSQUL 数据库中存储特殊字符(如下所示)以避免注入的最佳方法是什么。
« " ' é à ù
这就是我现在的做法:
$book_text=$_POST['book_text'];
$book_text=htmlentities($book_text, "ENT_QUOTES");
$query=//DB query to insert the text
然后:
$query=//DB query to select the text
$fetch=//The fetch of $book_text
$book_text=html_entity_decode($book_text);
这样,我所有的文本都被格式化为 HTML 实体。但是我认为这会占用大量的数据库空间。那么,有没有更好的方法呢?
使用utf8编码来存储这些值。
为避免注射使用mysql_real_escape_string()(或准备好的语句)。
为了防止XSS使用htmlspecialchars.
听起来您的问题可以概括为使用 PHP 和 MySQL 处理和存储 UTF8。
为了避免 SQL 注入,您应该使用准备好的语句。mysqli和PDO驱动程序都支持它们。
准备好的语句由驱动程序自动引用,因此您无需担心这一点。
您的数据库表应使用字符集utf8和utf8_general_ci排序规则创建。这些 my.cnf 设置将确保您的 MySQL 服务器通过以下方式运行 UTF8:
[mysqld]
default-character-set=utf8
default-collation=utf8_general_ci
character-set-server=utf8
collation-server=utf8_general_ci
init-connect='SET NAMES utf8'
[client]
default-character-set=utf8
请注意,PHP 通常不知道 UTF-8,因此您应该小心使用其中一个iconv或mbstring库来处理字符串。请参阅PHPWACT以获得良好的概述。
确保 PHP 的内部字符集设置为 unicode
iconv_set_encoding('internal_encoding', 'UTF-8');
mb_internal_encoding('UTF-8');
<meta>您还应该通过发送正确的标头或为字符集添加标签来确保浏览器知道编码。
那应该这样做。
你的问题是一个很好的混淆集合。你设法混淆了一切。
让我们试着整理一下。
使用 PHP,在 MSQUL 数据库中存储特殊字符(如下所示)以避免注入的最佳方法是什么。
这些都是无可比拟的事情。存储特殊字符是一回事,避免注入是另一回事。完全不同的一个。
$book_text=htmlentities($book_text, "ENT_QUOTES");
这是最有趣的部分。尽管它旨在保护您的查询,但它实际上什么也没做。因为您使用数值为 0 的字符串 ENT_QUOTES 而不是常量 ENT_QUOTES ,所以您没有设置任何标志。
但即使你正确设置了这个标志,它也不会自动保护你。因为注入代码可能不包含特殊字符。
为了避免注入,你必须遵循一整套规则,而不是一个简单的函数“make_my_data_safe()”。没有魔杖。
有关详细信息,请参阅我的答案。
至于特殊字符,很简单。唯一的问题是没有设置固体特殊字符。不同的环境有不同的特殊字符。
你有你为每种情况使用不同的格式规则。不同的,不是一个适合所有人的。
要将 é à ù 字符与 HTML 一起使用,您必须设置正确的 HTTP 标头。要将 é àù 与数据库一起使用,您必须将表编码设置为 utf8 并将连接编码设置为 utf 8。
是的 utf8 编码...
如果您非常担心注射,您也可以使用Prepared Statements...
http://www.linearchat.co.uk/2011/08/why-prepared-statements-in-mysql-are-a-good-thing/
还
http://dev.mysql.com/doc/refman/5.0/en/sql-syntax-prepared-statements.html