データベースからテーブルへのデータの作成とクエリにシステムを使用します。問題は、たとえば<h1>test</h1>、テーブルがそれをhtmlコードとして実行することです。
単純なテキストとしてクエリを実行するだけで、コードの実行を停止するにはどうすればよいですか。
質問する
95 次
2 に答える
2
使用する前に、サーバーで入力をサニタイズする必要があります。これは、SQL インジェクション攻撃を防ぐためにも重要です。
これを行う方法は、使用しているサーバー側の言語によって異なります。
PHPの場合、
参照: http://php.net/manual/en/function.strip-tags.php
参照: http://www.bitrepository.com/sanitize-data-to-prevent-sql-injection-attacks.html
于 2013-01-16T21:33:02.127 に答える
0
ブラウザが html として認識しないように、html の一部の文字を変更する必要があります。PHPhtmlspecialchars()の場合、目的に適合します(http://php.net/manual/en/function.htmlspecialchars.php)。PS DBに挿入する前に、入力の検証を行うことを願っています。
于 2013-01-16T21:42:54.803 に答える