0

我只是想知道我是否做得对。

PHP 

<?php 
if(isset($_POST['email']) && isset($_POST['password'])) {
    $email = htmlentities(mysql_real_escape_string($_POST['email']));
    // then hash password
}
?>

HTML

<form action="" method="POST">
    <input type="email" name="email" />
    <input type="password" name="password" />
    <input type="submit" name="Login" />
</form>

htmlentities()和一起做好mysql_real_escape_string吗?
或者我需要做什么?

4

1 回答 1

0

我会说htmlentities()是很好的防止XSS攻击。因此,如果您要再次将此数据重新渲染回 HTML 格式,请使用它。如果您只担心众所周知的SQL Injection攻击,我会说mysql_real_escape_string()对您来说已经足够了。

请记住,一旦您要再次显示它们,您就需要解码 HTML 实体。

于 2012-09-18T16:36:00.640 回答