PHP安全用户变量

PHP安全用户变量

为避免严重的安全问题，必须执行两项非常重要的 *** 作。

1. 您需要先对用户输入进行转义，然后再将其放入SQL查询中。转义表示转义所有特殊字符，如

   '

   ; 幸运的是，有一个函数已经自动执行该 *** 作：mysql_real_escape_string。

如果您不逃避用户的输入，可能会发生令人讨厌的事情。假设您的查询是

INSERT INTO userdata VALUES('$user_data')

。现在想象一下用户写的

'; DROP DATAbase userdata;

。

如果您不进行转义，您的查询将变为：

INSERT INTO userdata VALUES (''; DROP DATAbaseuserdata;')

。您可以想象这不是很好：如果启用了多条语句，您可以向数据库道别。这称为 SQL注入 攻击。

1. 将变量输出给用户时，还需要用HTML实体正确替换HTML特殊字符。幸运的是，也有一个函数可以做到这一点：htmlspecialchars（）。它将转换特殊的HTML字符，例如

   <

   到

   <

   。

这似乎是一个经常被低估的问题，但实际上这是非常严重的。想象如果

$user_data

包含

<script>SomeNastyscript()</script>

。它可能利用用户浏览器中的现有漏洞，或者可能向攻击者发送非HTTPOnly
cookie（可能包含已保存的密码），或者可能诱使用户将密码写在通过 *** 纵DOM（可能在javascript中）或其他很多不好的东西。

这称为 XSS （跨站点脚本）。

---

精简版

1. mysql_real_escape_string

   在将字符串插入到SQL查询中之前先调用它（但在您输入字符串时不

   echo

   这样做）。

2. htmlspecialchars

   在将字符串显示给用户之前，先调用它（但当您将其放入数据库时​​不调用）。