可能重复:
htmlentities() 和 mysql_real_escape_string() 是否足以清除 PHP 中的用户输入?
在我的 sql 注入站点中,我使用了 mysql_real_escape_string 但现在假设有人想在论坛中输入 PHP 代码,因此使用了 htmlentities 函数。我的代码如下:
$not_con =mysql_real_escape_string(htmlentities($_POST['note']));
比我更新 sql db 更喜欢
mysql_query("UPDATE forumtopic set forumDescri='$not_con' WHERE forum_id=$f_id");
现在,当我在文本框中输入简单的 PHP 代码时,就像<?php echo "hi" ?>
没有问题一样,它成功地插入到数据库中。但是当我输入<?php session_start(); echo "hi" ?>
时,它给出了错误,比如FORBIDDEN you dont have permission 404 error
.help me in this