【发布时间】:2013-04-13 06:38:18
【问题描述】:
大家好,我正在试验并开始创建一个将实施论坛的网站。我已经开始研究可能影响网站的安全问题。跨站脚本和sql注入攻击等领域。
从研究中剥离所有 html 标签将阻止 XSS。将这连同剥离 SQL 特殊字符是否足以防止 sql 注入攻击?
<?php
require "dbconn.php";
$mnam = strip_tags($_GET['blogentername']);
$mcom = strip_tags($_GET['blogmessage']);
$approve = 'N';
$dte = gmdate("d-M-Y H:i:s");
$mnam = mysql_real_escape_string($user);
$mcom = mysql_real_escape_string($mcom);
$query = "INSERT INTO blogentry VALUES ('".$mnam."','".$dte."','".$mcom."','".$approve."','','')";
$results = mysql_query($query)
or die(mysql_error());
header('Location:messages.php?messagesent=1');
?>
感谢大家的时间安迪
【问题讨论】:
-
您的代码中没有删除 SQL 特殊字符。我想说没有像“SQL 特殊字符”这样的东西
-
我推荐阅读 OWASP
-
防止XSS的方法是在创建HTML时正确编码文本。
-
看右边.... 1314!!!!! (问题中的投票)
-
我一直在看那张幻灯片,它回答了这个问题。我的道歉