이것은 데이터 삭제에 대한 기본적인 질문입니다. 사용자가 < 또는>를 입력해야하는 정당한 이유가없는 양식 필드가 있는데, html과 javascript를 주입하는 데 사용할 수 있습니다.POST 필드에 '<' nor '>'도 포함되어 있지 않은 경우 안전합니까?
htmlentities와 다양한 스트립 기능을 사용하지 않고도 자신의 장소에서 사용할 수있게되어 기쁩니다.이 베어 본 2 단계 접근 방식이 스크립트의 안전성을 보장하는지 궁금합니다.
- 브라우저 관련 삽입을 피하려면 필드에 '<'또는 '>'이 포함되어 있는지 확인하십시오.
- SQL 인젝션을 피하기 위해 필드를 데이터베이스로 보내기 전에 PDO quote() 함수를 사용하십시오.
미리 감사드립니다.
당신이 그것을 생각하지 않았기 때문에 다른 사람이하지 않는다는 것을 의미하지는 않습니다. 항상 제대로 일하십시오. –
** 자리 표시 자 **를 사용하지 않는 경우 잘못 처리하면 존재하지 않는 문제가 생깁니다. DB에 데이터를 보낼 때 "quoting"을 잊어 버리십시오. 자리 표시자를 사용하면 * SQL Injection *을 잊어 버릴 수 있습니다. 그러나 모든 사용 사이트는 주사를 피하기 위해 적절한 기술을 사용해야합니다. 즉 데이터가 나중에 사용되었습니다. 각 * 사용 사이트 *는 다르게 작동합니다. URL을 인코딩합니까? HTML 엔티티를 이스케이프합니까? JSON 인코딩? 자리 표시 자? 그냥 사용하십시오. 항상. – Paul
데이터베이스에있을 때 값으로 무엇을하고 있습니까? – Gumbo