2

我有一个文本区域,用户也可以添加注释。在下一页上,我使用$_POST[Comments]来显示输入的内容。我有一个编辑按钮可以返回并查看输入的内容并编辑注释,但是当我显示$_POST[Comments]它时,它会显示所有内容,直到一个撇号。

例子:

最初键入:Let's try this.

编辑时:Let

现在,当我将它传递给服务器进行 SQL 添加时,我使用以下函数来防止 SQL 注入

function keepSafe($value) {
        if (get_magic_quotes_gpc()) {
            $value = stripslashes($value);
        }
        if (!is_numeric($value)) {
            $value = "'" . mysqli_real_escape_string($value) . "'";
        }
        return $value;
    }

以下是我用来格式化 SQL 插入的输入。

$Comments = str_replace("\n","<br />",$_POST['CustComments']);
    $Comments = keepSafe($_POST['Comments']);

在提交之前进行编辑时,我需要能够看到注释部分中的所有撇号。而且我想确保当我提交它是一个 SQL 注入阻止安全代码。

4

2 回答 2

7

撇号的问题:

您可能使用这样的输入:

<input type='text' value='<?php echo $value;?>'/>

问题是,如果该值有撇号,则会发生这种情况:

<input type='text' value='Let's play'/>

因此,值标签因变量中的撇号而结束。

要修复它,只需使用带有 ENT_QUOTES 的 htmlspecialchars:

<?php 
 $value = htmlspecialchars("Let's play", ENT_QUOTES);
?>
<input type='text' value='<?php echo $value; ?>'/>

这样撇号会被编码,并且可以在您的表单中进行编辑

关于 SQL 注入:

只需使用mysqli 的准备好的语句就可以了。为了让您免受 XSS 攻击,请始终htmlspecialchars在 HTML 输出中输入用户输入。更好的方法是将输入过滤为您需要的内容,并仅将过滤后的输入保存到您的数据库中。

于 2012-12-04T21:13:05.830 回答
-1

htmlspecialchars()创建 textarea 标签时使用函数:

<textarea><?=htmlspecialchars($_POST['Comments'])?></textarea>
于 2012-12-04T21:29:00.667 回答