如何在将用户数据发送到 mySQL 之前对其进行清理？

Question

我正在做一个论坛。

我想在将输入数据（即来自用户的帖子）发送到 MySQL 数据库之前对其进行清理。

我已经在搜索一些功能来做到这一点，但我不确定我是否使用了足够多的功能以及它们是否都足够安全。欢迎提出任何建议。

这是我的代码：

$message=$_POST['answer'];
$message=nl2br($message); //adds breaks to my text
$message=stripslashes($message); //removes backslahes (needed for links and images)
$message=strip_tags($message, '<p><a><b><i><strong><em><code><sub><sup><img>'); //people can only use tags inside 2nd param
$message = mysql_real_escape_string($message); //removes mysql statements i think (not sure)

编辑：请告诉我是否应该向 strip_tags 函数添加一些标签。也许我忘记了一些。

Answer 1

尝试改用 PDO。它具有强大的绑定功能，真正提高了安全性。以下是一些示例：http://php.net/manual/pl/pdostatement.bindvalue.php

PDO 在 PHP5 中是默认的，现在几乎无处不在。

Answer 2

如果您想允许在论坛中使用有限的 HTML（如您使用 strip_tags() 的方式所见），请使用 HTMLPurifier；否则你很容易在这些标签的属性中受到 javascript 的攻击。

顺便说一句，现在你正在剥离你添加的<br>标签

Answer 3

当您保存到数据库时：

$message=strip_tags($message, '<p><a><b><i><strong><em><code><sub><sup><img>'); //people can only use tags inside 2nd param
$message = mysql_real_escape_string($message); //removes mysql statements i think (not sure)

当你输出时：

$message=nl2br($message); //adds breaks to my text
$message=stripslashes($message); //removes backslahes (needed for links and images)

此外，当您写入 html 输入元素（如 text 或 textarea）时，请使用 htmlspecialchars

OBS：不要重新发明轮子。学习一些 PHP 框架，例如 codeigniter，它提供了非常安全的数据管理方式。 .