-1

我需要将数据存储在 mysql 表中,然后将其输出给用户。

我正在清理“名称”和“评论”

在名称上使用 strip_tags 和 trim,然后使用 stmt prepare/bind_param 存储它。

并且在使用 nl2br/htmlspecialchars 的“评论”上,然后将其与 stmt prepare/bind_param 一起存储,因为用户必须能够按 enter/linebreak。

那么这足以保护我免受 XSS/SQL 注入吗?

谢谢

4

1 回答 1

-1

strip_tags 嗯..看看其他问题

此外,您正在更改用户输入,我认为最好显示完整的输入(安全)

htmlentities($str, ENT_QUOTES, "UTF-8");

下一个问题

于 2013-08-05T23:25:15.283 回答