SQL 特殊文字の問題について初心者の方は、助けを求めてください。
私は PHP を初めて使用するため、ユーザーが投稿した投稿をバックグラウンドに保存する前に管理する方法、または直接保存する方法がわかりません。データベース内の
また、ライブラリの内容を相互に表示するかどうかは、SQL クエリをユーザーに直接表示するか、それともライブラリの内容の特殊文字を処理して表示するかという問題です。
これを行うのは初めてなので、わかりません。日常生活でこの SQL 入力とデータの取得をどのように処理し、ユーザーに表示するかを教えてください。
皆さん、大げさではないと思いますが、皆さんの幸せな人生を心から祈っています。
-----解決策---------
htmlspecialchars($content ) ;
htmlspecialchars_decode() // 表示前にデコードします。
------解決策---------
少なくとも 2 つの攻撃方法を知っています
1、SQL インジェクション
解決策は多数ありますが、少なくとも、ユーザーが送信したデータ内の単一引用符をエスケープする必要があります。 PHP には、mysql_escape_string()、htmlspecialchars()、addslashes()
2、XSS 攻撃
など、そのような関数が多数あります。表示する必要があるユーザー送信データの場合、HTML タグは厳密にエスケープする必要があります。そうしないと、ユーザーの投稿に HTML コードが含まれている場合 (<script> 内の一部の JS コードが実行されることになります)、通常のユーザーの COOKIE が盗まれ、セッション ID が取得される可能性が高くなります。これにより、正規のユーザーになりすまし、サーバーを騙す。または、ユーザーのマシンを使用して他の Web サイトに DDOS 攻撃を開始します</script> が直接表示されると攻撃されます。
解決策は上記の通りですが、htmlspecialchars_decode() を使用してデコードすることはできません。そうしないと、すべての努力が無駄になってしまいます。
これらのメソッドは非常に一般的なもので、理解できない場合は、検索してください。 Google にたくさんの例があります
------解決策---------
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
