このコードは安全ですか?
$name = htmlspecialchars($mysqli->real_escape_string($_POST["name"]), ENT_QUOTES,"UTF-8");
それともこれを使うべきですか
$name = $mysqli->real_escape_string(htmlspecialchars($_POST["name"], ENT_QUOTES,"UTF-8"));
またはそれは問題ではありませんか?どうも
質問する
76 次
1 に答える
1
ない。
クエリを作成するときにデータベースを SQL インジェクションから保護します。可能であれば、手動でエスケープするのではなく、パラメーター化されたクエリを使用して実行してください。
HTMLを生成するときに、HTML を XSS から保護します。つまり、データベースに入力したデータではなく、データベースからhtmlspecialchars取得したデータに適用します。
于 2013-08-05T13:02:35.377 に答える