我在方法调用、SQL 查询和文件调用中使用$_GET
,$_POST
和$_COOKIE
变量 - 有必要转义/重写此用户数据以获得更好的安全性(避免注入攻击等)。你会如何建议这样做?
来自内置逃生功能的一些想法......让果汁流动:
- 添加反斜杠到:
\x00, \n, \r, \, ', "
并使\x1a
字符串对 SQL 查询安全 - 就像在 mysql_real_escape_string() 中一样。 - 将接受的字符数限制为
[a-zA-Z0-9 _-\.]
(其中“\.
”是转义的“.”-点)。
感谢您的意见。谢谢。