sql >> Databáze >  >> RDS >> Mysql

co ještě mohu udělat, abych se vyhnul XSS injekci a SQL injekci?

Ne. Dělá to hrozný nepořádek ve vašich datech.

Ano. Svůj kód můžete chránit před injekcemi SQL.
Zde je stručné vysvětlení, které jsem již uvedl
Jenom musím dodat, že byste si neměli kazit svá zdrojová datová pole.
Pole POST má co do činění s SQL. Data mohou jít do e-mailu, formuláře HTML, souboru, online služby atd. Proč to všechno zacházet s ochranou SQL?
Na druhou stranu můžete svá data převzít nikoli z POST, ale ze souboru online služba, jiný dotaz.
Musíte tedy chránit nikoli zdrojová pole, ale skutečná data, která jsou součástí dotazu

Když už mluvíme o XSS, opět neexistuje žádné jednoduché univerzální pravidlo.
Obecně ale musíte použít htmlspecialchars($data,ENT_QUOTES); pro všechna nedůvěryhodná data, která vydáte jako text, a některé další druhy ověření v některých speciálních případech, jako jsou názvy souborů



  1. Víceúrovňové menu z databázových záznamů

  2. Zjistit, zda je datum v letním čase v MySql

  3. Sloučit dvě tabulky na základě času

  4. předání LIMIT jako parametrů MySQL sproc