【问题标题】:regarding database security关于数据库安全
【发布时间】:2011-05-03 10:07:26
【问题描述】:

我在 mysqli(); 中使用准备好的语句;在我的网站上插入和检索数据我也使用了 bind_param 所以我不直接将变量添加到查询中。我使用 strip_tags 来清理任何输入我还应该注意什么?

【问题讨论】:

    标签: mysql security prepared-statement


    【解决方案1】:

    不要在数据库输入上使用 strip_tags():在浏览器输出上使用 htmlentites()(或 urlencode(),如果合适的话)。

    【讨论】:

    • 这可能看起来像一个愚蠢的问题,但我为什么不应该使用 strip_tags 呢?
    • @andrei - strip_tags 与数据库安全无关; htmlentitiesurlencode 也不行。它们旨在解决 XSS。输入时的strip_tags 不能解决 XSS。解决 XSS 的正确方法是输出编码。请参阅owasp.org/index.php/… 了解更多信息
    • "strip_tags at input 不能解决 XSS" 我认为它解决了 >
    猜你喜欢
    • 1970-01-01
    • 2014-03-24
    • 2013-03-22
    • 2021-06-20
    • 1970-01-01
    • 2016-09-20
    • 2018-05-28
    • 2011-08-11
    • 2018-02-02
    相关资源
    最近更新 更多