看板 PHP 關於我們 聯絡資訊
※ 引述《red0whale (red whale)》之銘言: : 我們在使用MySQL時都會注意SQL Injection和防止網頁代碼注入 : 也就是會使用addslashes和htmlspecialchars函數 : 在使用MySQL時除了要注意這兩點之外 : 還有沒有其他需要注意的? : 另外, : 在寫上傳檔案的PHP程式時, : 有時候為了防止使用者上傳PHP檔以攻擊伺服器內部而會阻止以「.php」為副檔名的檔案 : 除此之外,是否還有其他須注意的地方? : 謝謝 htmlspecialchars 是在網頁顯示時,作 html escape 防止 XSS 等攻擊使用 addslashes 建議不要使用,使用 mysql(i)_escape_string / mysql(i)_real_escape_string / PDO prepare.. 等等 原因在這邊:https://stackoverflow.com/questions/4486016/whats-the-difference-between-phps-addslashes-and-mysqli-escape-string 至於安全性的部分,可以參考這篇:https://blog.longwin.com.tw/2008/08/php-sql-injection-xss-security-2008/ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 175.181.38.134 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1509895493.A.1AB.html