最终的清洁/安全功能我有很多来自$_GET和$_POST..现在我总是写mysql_real_escape_string($_GET['var'])..我想知道您是否可以创建一个函数来保护、逃避和清除$_GET/$_POST数组,所以您不必每次处理用户输入之类的问题。我在想一个函数,例如cleanMe($input),在里面,它应该可以mysql_real_escape_string, htmlspecialchars, strip_tags, stripslashes(我认为这将使它变得干净和安全),然后返回$input.这有可能吗?创建一个对所有人都有效的函数$_GET和$_POST所以你只会这样做:$_GET = cleanMe($_GET);$_POST = cleanMe($_POST);因此,在以后的代码中,当您使用例如$_GET['blabla']或$_POST['haha'],它们是安全的,被剥离的等等?试了一下:function cleanMe($input) {
$input = mysql_real_escape_string($input);
$input = htmlspecialchars($input, ENT_IGNORE, 'utf-8');
$input = strip_tags($input);
$input = stripslashes($input);
return $input;}
3 回答
红颜莎娜
TA贡献1842条经验 获得超13个赞
在运行数据库查询之前。正确的卫生方法取决于您使用的库; 如何防止PHP中的SQL注入? htmlspecialchars()为了获得安全的HTML输出 preg_quote()用于正则表达式 escapeshellarg()/escapeshellcmd()用于外部命令 等
江户川乱折腾
TA贡献1851条经验 获得超5个赞
mysql_real_escape_string
编辑
&htmlentities&.
扬帆大鱼
TA贡献1799条经验 获得超9个赞
class inputManager{
static function toHTML($field){
$data = filter_input(INPUT_GET, $field, FILTER_SANITIZE_SPECIAL_CHARS);
return $data;
}
static function toSQL($field, $dbType = 'mysql'){
$data = filter_input(INPUT_GET, $field);
if($dbType == 'mysql'){
return mysql_real_escape_string($data);
}
}}添加回答
举报
0/150
提交
取消