一个最简单的PHP,如何有效的防止注入和xss

shop 大佬有话说 :

本帖最后由 shop 于 2021-3-11 13:08 编辑

php一知半解，代码都是摘自百度，请教php大佬，如何有效的防止注入和xss

shop 大佬有话说 :

论坛不让传代码,只能截图了

maro666 大佬有话说 :

get来的数据先过滤一遍

hang6 大佬有话说 :

最简单办法把username正则一遍不允许特殊字符过

布鲁斯的月光 大佬有话说 :

用了预处理了，问题不大。

榆木大佬有话说 :

pdo预处理已经可以了。 XSS需要把单双引号与尖括号实体化

shop 大佬有话说 :

额,用了pdo预处理,注入就无效了,可以这样理解么?

楼上说的实体化,是要把get的参数这样处理么,有具体代码么,百度了下,看不太懂 = =

西行寺幽幽子 大佬有话说 :

用了预处理加参数绑定就免疫sql注入了
防xss的话用htmlspecialchars函数过一遍传入内容

shop 大佬有话说 :

明白了,多谢~~

Mr. 大佬有话说 :

这是两个分开的事

防注入最基本的是不要拼凑 sql 字符串，可以选择 pdo 预处理，也可以选择 orm 框架来操作数据库，或者超轻量级的 medoo

防 xss 不应该在入数据库之前传，进入数据库的应该是原始数据，因为后面可能会对原数据编辑修改或其它计算，应该从数据库拿出来之后，在展示之前（echo 到 html 的时候）做相应的处理