【发布时间】:2011-05-03 10:07:26
【问题描述】:
我在 mysqli(); 中使用准备好的语句;在我的网站上插入和检索数据我也使用了 bind_param 所以我不直接将变量添加到查询中。我使用 strip_tags 来清理任何输入我还应该注意什么?
【问题讨论】:
标签: mysql security prepared-statement
我在 mysqli(); 中使用准备好的语句;在我的网站上插入和检索数据我也使用了 bind_param 所以我不直接将变量添加到查询中。我使用 strip_tags 来清理任何输入我还应该注意什么?
【问题讨论】:
标签: mysql security prepared-statement
不要在数据库输入上使用 strip_tags():在浏览器输出上使用 htmlentites()(或 urlencode(),如果合适的话)。
【讨论】:
strip_tags 与数据库安全无关; htmlentities 或 urlencode 也不行。它们旨在解决 XSS。输入时的strip_tags 不能解决 XSS。解决 XSS 的正确方法是输出编码。请参阅owasp.org/index.php/… 了解更多信息