假设我通过 file_get_contents() 导入段落或获取用户输入,可能有单引号或双引号或两者兼有。将所述内容转换为变量并随后进行操作的安全方法是什么?
问问题
91 次
1 回答
0
这取决于您稍后将如何处理输入:
输出为 HTML:
$input = htmlspecialchars($input);
在 shell 命令中使用它:
$input = escapeshellarg($input);
在数据库查询中使用它
如果你使用准备好的语句,你就可以了。如果不是(为什么?),请使用:
$input = mysqli_real_escape_string($mysqli, $string);
// or
$input = PDO::quote($input);
// other database extension may introduce their own quoting functions
在正则表达式中使用它:
$input = preg_quote($input);
对此列表的扩展或更正表示赞赏.... :)
于 2013-10-05T14:09:20.313 回答