ホームページ > バックエンド開発 > PHPチュートリアル > SQL 特殊文字、初心者、専門家に関する質問

SQL 特殊文字、初心者、専門家に関する質問

WBOY
リリース: 2016-06-13 13:38:10
オリジナル
794 人が閲覧しました

SQL 特殊文字の問題について初心者の方は、助けを求めてください。
私は PHP を初めて使用するため、ユーザーが投稿した投稿をバックグラウンドに保存する前に管理する方法、または直接保存する方法がわかりません。データベース内の

また、ライブラリの内容を相互に表示するかどうかは、SQL クエリをユーザーに直接表示するか、それともライブラリの内容の特殊文字を処理して表示するかという問題です。

これを行うのは初めてなので、わかりません。日常生活でこの SQL 入力とデータの取得をどのように処理し、ユーザーに表示するかを教えてください。
皆さん、大げさではないと思いますが、皆さんの幸せな人生を心から祈っています。

-----解決策---------

htmlspecialchars($content ) ;

htmlspecialchars_decode() // 表示前にデコードします。
------解決策---------
少なくとも 2 つの攻撃方法を知っています
1、SQL インジェクション
解決策は多数ありますが、少なくとも、ユーザーが送信したデータ内の単一引用符をエスケープする必要があります。 PHP には、mysql_escape_string()、htmlspecialchars()、addslashes()
2、XSS 攻撃
など、そのような関数が多数あります。表示する必要があるユーザー送信データの場合、HTML タグは厳密にエスケープする必要があります。そうしないと、ユーザーの投稿に HTML コードが含まれている場合 (<script> 内の一部の JS コードが実行されることになります)、通常のユーザーの COOKIE が盗まれ、セッション ID が取得される可能性が高くなります。これにより、正規のユーザーになりすまし、サーバーを騙す。または、ユーザーのマシンを使用して他の Web サイトに DDOS 攻撃を開始します</script> が直接表示されると攻撃されます。
解決策は上記の通りですが、htmlspecialchars_decode() を使用してデコードすることはできません。そうしないと、すべての努力が無駄になってしまいます。

これらのメソッドは非常に一般的なもので、理解できない場合は、検索してください。 Google にたくさんの例があります
------解決策---------

話し合う

私は少なくとも 2 つの攻撃方法を知っています
1. SQL インジェクション
少なくとも、ユーザーが送信したデータ内の単一引用符をエスケープする必要があります。 PHP には、mysql_escape_string()、htmlspecialchars()、addslashes()
2、XSS 攻撃
など、そのような関数が多数あります。表示する必要があるユーザー送信データの場合、HTML タグは厳密にエスケープする必要があります。それ以外の場合、ユーザーの投稿に HTML コード (ここにある

関連ラベル:
ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート