データベースからテーブルへのデータの作成とクエリにシステムを使用します。問題は、たとえば<h1>test</h1>
、テーブルがそれをhtmlコードとして実行することです。
単純なテキストとしてクエリを実行するだけで、コードの実行を停止するにはどうすればよいですか。
使用する前に、サーバーで入力をサニタイズする必要があります。これは、SQL インジェクション攻撃を防ぐためにも重要です。
これを行う方法は、使用しているサーバー側の言語によって異なります。
PHPの場合、
参照: http://php.net/manual/en/function.strip-tags.php
参照: http://www.bitrepository.com/sanitize-data-to-prevent-sql-injection-attacks.html
ブラウザが html として認識しないように、html の一部の文字を変更する必要があります。PHPhtmlspecialchars()
の場合、目的に適合します(http://php.net/manual/en/function.htmlspecialchars.php)。PS DBに挿入する前に、入力の検証を行うことを願っています。