0

データベースからテーブルへのデータの作成とクエリにシステムを使用します。問題は、たとえば<h1>test</h1>、テーブルがそれをhtmlコードとして実行することです。

単純なテキストとしてクエリを実行するだけで、コードの実行を停止するにはどうすればよいですか。

4

2 に答える 2

2

使用する前に、サーバーで入力をサニタイズする必要があります。これは、SQL インジェクション攻撃を防ぐためにも重要です。

これを行う方法は、使用しているサーバー側の言語によって異なります。

PHPの場合、

参照: http://php.net/manual/en/function.strip-tags.php

参照: http://www.bitrepository.com/sanitize-data-to-prevent-sql-injection-attacks.html

于 2013-01-16T21:33:02.127 に答える
0

ブラウザが html として認識しないように、html の一部の文字を変更する必要があります。PHPhtmlspecialchars()の場合、目的に適合します(http://php.net/manual/en/function.htmlspecialchars.php)。PS DBに挿入する前に、入力の検証を行うことを願っています。

于 2013-01-16T21:42:54.803 に答える