- 论坛徽章:
- 0
|
Escape是用来保证特殊字符被正确处理的重要手段,著名的XSS攻击就是因为没有对用户输入做正确的escape造成的,这里我对PHP中的Escape做了一些总结。
* 需要escape的地方
o 输入的时候使用htmlspecialchars($str, ENT_QUOTES) 对html做escape, urlencode来对url做encode,javascript必须使用addslashes和htmlspecialchars
o 访问数据库的时候。访问数据库最好使用绑定参数的方式,否则必须通过合适的escape函数,不同数据库驱动有不同的函数,mysql是使用mysql_real_escape_string
* 不要escape的地方
o 存到数据库的数据不要escape,要用原始数据。取出来使用的时候,如果遇上上面提到的三种情况,再做合适的escape
另外,要尽量避免使用addslashes,因为使用这个函数必须以数据以前没被addslashes过为前提,当函数被套嵌调用很多次的时候很难确定调用是否正确。
本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u2/72491/showart_1274542.html |
|