在将 PHP Session 发送到 MySQL 查询之前是否需要使用htmlspecialchars()?
一些邪恶的黑客可以在他的机器上创建带有危险 SQL 注入的会话吗?
问问题
591 次
1 回答
4
不。
htmlspecialchars()在将文本放入 HTML 之前使用。(受信任的 HTML 直接放入 HTML。不受信任的 HTML 通过白名单运行)。这是对 XSS 的防御。
在将数据放入 SQL 查询时,您必须担心 SQL 注入。由于会话数据首先只包含您放入其中的内容,因此如果您采取任何措施来防御 SQL 注入,那么它们将取决于您放入会话中的数据。
根据经验,任何放入查询的变量都应该使用绑定变量而不是字符串连接插入。
于 2013-01-24T17:40:08.393 回答