大家好,我正在试验并开始创建一个将实施论坛的网站。我已经开始研究可能影响网站的安全问题。跨站脚本和sql注入攻击等领域。
从研究中剥离所有 html 标签将阻止 XSS。这与剥离 SQL 特殊字符一起是否足以防止 sql 注入攻击?
<?php
require "dbconn.php";
$mnam = strip_tags($_GET['blogentername']);
$mcom = strip_tags($_GET['blogmessage']);
$approve = 'N';
$dte = gmdate("d-M-Y H:i:s");
$mnam = mysql_real_escape_string($user);
$mcom = mysql_real_escape_string($mcom);
$query = "INSERT INTO blogentry VALUES ('".$mnam."','".$dte."','".$mcom."','".$approve."','','')";
$results = mysql_query($query)
or die(mysql_error());
header('Location:messages.php?messagesent=1');
?>
谢谢大家的时间安迪