0

这是我遇到的问题,例如,当用户输入<script>top.location.href=’http://www.google.nl’;</script> 我希望我的应用程序将其作为纯文本回显时。现在,这实际上适用于 htmlspecialchars()

这个例子对我有用:

$test = "<script>top.location.href=’http://www.google.nl’;</script>";
echo htmlspecialchars($test);

但是,当用户提交表单时,数据会进入我的数据库,然后返回到“仪表板”。现在的值为''。有没有办法可以将数据安全地保存到我的数据库中?

我通过 SDK 以这种方式将值添加到我的 C# 应用程序的数据库中:

$onderwerp = htmlspecialchars(stripslashes(trim($_POST['onderwerp'])), ENT_QUOTES,'UTF-8',true);
$omschrijving = htmlspecialchars(stripslashes(trim($_POST['omschrijving'])), ENT_QUOTES,'UTF-8',true);

    $im = array('description' => mysql_real_escape_string($onderwerp),
                'message' => mysql_real_escape_string($omschrijving) ,
                'relation' => $_SESSION['username'],
                'messageType' => 70,
                'documentName' => $_FILES["file"]["name"],
                'documentData' => base64_encode(file_get_contents($_FILES["file"]["tmp_name"])));
    $imresponse = $wcfclient->CreateInboundMessage($im);
    echo $imresponse->CreateInboundMessageResult;

然后以这种方式在我的仪表板上调用它们:

$roc = array('relation' => $_SESSION['username']);
$rocresponse = $wcfclient->ReadOpenCalls($roc);
foreach ($rocresponse->ReadOpenCallsResult as $key => $calls){
   echo $calls->Description;
}
4

2 回答 2

0

是的,阅读mysqli_real_escape_string

于 2013-09-16T08:21:51.470 回答
0

你能检查一下mysql-real-escape-string

mysql_real_escape_string()

mysql_real_escape_string() 函数转义字符串中的特殊字符以用于 SQL 语句

还要检查SQL 注入SQL 注入

例子

<?php
$link = mysql_connect('localhost', 'mysql_user', 'mysql_password');
$item = "Zak's and Derick's Laptop";
$escaped_item = mysql_real_escape_string($item);
printf ("Escaped string: %s\n", $escaped_item);
?>

输出:

Escaped string: Zak\'s and Derick\'s Laptop
于 2013-09-16T08:30:05.197 回答