그래서 나는 당신이 할 수있는 $words = htmlspecialchars($_POST['name']);
PHP에서 특수 문자를 이스케이프하고 일부 HTML 주입을 방지 할 수 있습니다.html 삽입 방지하기
하지만 실제로 PHP 코드에 구현하는 데 문제가 있습니다. 나는 당신이 사이트의 뷰어에게 보여주고있는 것을 보여주기 전에 그것을 사용해야한다는 것을 읽고 있었지만 어떻게해야하는지에 대해서는 분실했다. 나는 PHP 초심자이다.
그래서 SQL 주입 부분을 수행 할 수 있었지만 여기에 설명 된 것처럼 내가 붙어있는 코드 부분이 있습니다.
난 당신이 알려주세요 내 다른 물건에서 샘플 코드가 필요하면 제목의 블로그와 태그
$result= mysql_query("SELECT * FROM Bpost");
echo '<div class = "blog" align = "center">';
while($row = mysql_fetch_array($result))
{
echo "<div class = 'tname'>";
echo $row['title'];
echo '</div>';
echo '<div class = "bpost">';
echo $row['blog'];
echo '</div>';
echo '<div class = "tag">';
echo $row['tags'];
echo '</div>';
echo '</br>';
}
echo '</div>';
의 HTML 인젝션을 방지하기 위해 노력하고 있습니다. 나에게 이것은 이것으로 충분했다.
[** 새 코드 **에서 mysql_ * 함수를 사용하지 마십시오. http://bit.ly/phpmsql. 더 이상 유지 관리되지 않으며 공식적으로 사용되지 않습니다 (https://wiki.php.net/rfc/mysql_deprecation). [** 빨간색 상자 **] (http://j.mp/Te9zIL)를 참조하십시오. 대신 [* prepared statements *] (http://j.mp/T9hLWi)에 대해 알아보고 [PDO] (http://php.net/pdo) 또는 [MySQLi] (http://php.net/)를 사용하십시오. mysqli) - [이 기사] (http://j.mp/QEx8IB)는 어떤 결정을 내리는 데 도움이 될 것입니다. PDO를 선택하면 [여기는 좋은 튜토리얼입니다] (http://j.mp/PoWehJ). – Neal
@Neal 이렇게하려면 봇을 작성해야합니다. – ceejayoz
@ceejayoz 누가 내가하지 않았다고 말했습니까? :-P – Neal