小弟初学php,不知道对用户在论坛提交的帖子,大家在后台入库前要对内容如何如理,还是直接入库
另外一个问题,就是向相互展示库里的内容,是不是直接sql查询出来后直接向用户展示,还是对库里内容特殊字符处理后展示。
第一次搞这个东西,不懂,还望各位大牛说说日常你们是怎么处理这个sql入库和调库里数据怎么处理后展示给用户?
谢谢大家,分不多,情真切,祝各位大牛生活开心!
------解决方案--------------------
htmlspecialchars($content);
htmlspecialchars_decode(); //展示前解码下
------解决方案--------------------
我知道的至少有两种攻击方式
1,sql注入
解决方法有不少,最起码的要对用户提交的数据的单引号转义。php有不少这样的函数例如mysql_escape_string(),htmlspecialchars(), addslashes()
2,XSS攻击
对于还需展示用户提交的数据,要严格转义HTML标记。否则,用户的发的帖子中若包含了HTML代码,比如,直接展示的话就会被攻击。
解决方法如楼上所说,但不能用htmlspecialchars_decode()解码,否则前功尽弃
这些手段都是很常见的,如果不太理解,google上一搜大把的示例
------解决方案--------------------
------解决方案--------------------
入库的内容,最起码要转义对数据库有歧义的字符'之类的。
控制住入口,相对来说就安全多了。
就像防火墙,杀毒软件一样。关键是防毒。查毒,可慢了
php入门到就业线上直播课:查看学习
千万级数据并发解决方案(理论+实战):点击学习
相关文章推荐
• ❤️🔥共22门课程,总价3725元,会员免费学• ❤️🔥接口自动化测试不想写代码?• 分析PHP如何快速创建RPC服务(代码演示)• AST Inspector是啥?PHP AST步骤调试器怎么用?• 总结分享php是如何处理IOS自动续费!• php框架防止注入代码• 新帖续问:$.ajax()函数对于如何利用返回值的一些细节问题
独孤九贱(3)_JavaScript视频教程
javascript是运行在浏览器上的脚本语言,连续多年,被评为全球最受欢迎的编程语言。是前端开发必备三大法器中,最具杀伤力。如果前端开发是降龙十八掌,好么javascript就是第18掌:亢龙有悔。没有它,你的前端生涯是不完整的。《php.cn独孤九贱(3)-JavaScript视频教程》课程特色:php中文网原创幽默段子系列课程,以恶搞,段子为主题风格的php视频教程!轻松的教学风格,简短的教学模式,让同学们在不知不觉中,学会了javascript知识。
JavaScript教程137623次播放
独孤九贱(6)_jQuery视频教程
jQuery是一个快速、简洁的JavaScript框架。设计的宗旨是“write Less,Do More”,即倡导写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理、动画设计和Ajax交互。 核心特性可以总结为:具有独特的链式语法和短小清晰的多功能接口;具有高效灵活的css选择器,并且可对CSS选择器进行扩展;拥有便捷的插件扩展机制和丰富的插件。兼容各种主流浏览器,如IE 6.0+、FF 1.5+、Safari 2.0+、Opera 9.0+等,是全球最流行的前端开发框架之一。PHP中文网根据最新版本,独家录制jQuery最新视频教程,回馈PHP中文网的新老用户。
jQuery教程113173次播放
jQuery与Ajax基础与实战
jQuery是最流行的JS函数库,封装了许多实用的功能,其中最引人入胜的就是Ajax。 jQuery中的Ajax操作,语法简单,操作方便,使Ajax从未如此轻松,前端人员从此不再为与服务器异步交互而发愁,本套课程,精选了最常用的几个方法,从基本的语法到每个参数,再到具体实例进行了全面的讲解。
AJAX教程13014次播放
Git教程(60分钟全程无废话版)
Git 是一个开源的分布式版本控制系统,用于敏捷高效地处理任何或小或大的项目。 Git 是 Linus Torvalds 为了帮助管理 Linux 内核开发而开发的一个开放源码的版本控制软件。 Git 与常用的版本控制工具 CVS, Subversion 等不同,它采用了分布式版本库的方式,不必服务器端软件支持
JavaScript教程11178次播放
