0

私はそれが正しく行われているかどうかを知りたいだけです。

PHP

<?php 
if(isset($_POST['email']) && isset($_POST['password'])) {
    $email = htmlentities(mysql_real_escape_string($_POST['email']));
    // then hash password
}
?>

HTML

<form action="" method="POST">
    <input type="email" name="email" />
    <input type="password" name="password" />
    <input type="submit" name="Login" />
</form>

htmlentities()一緒にやるのはいいmysql_real_escape_stringですか?
または私は何をする必要がありますか?

4

1 に答える 1

0

攻撃htmlentities()を防ぐのに良いと思います。XSSしたがって、このデータを再度 HTML 形式に再レンダリングする場合は、それを使用してください。SQL Injectionよく知られている攻撃だけを心配しているのであれば、それでmysql_real_escape_string()十分だと思います。

HTML エンティティを再度表示する場合は、それらをデコードする必要があることに注意してください。

于 2012-09-18T16:36:00.640 に答える