对用户提交的数据务必做过滤及转义处理
对于Web开发而言,大家务必要清楚的知道,用户提交过来的数据是不能保证是否合法的,所以需要对用户提交的数据做一些过滤(过滤掉敏感词,如:select 、’ 这类SQL构造词汇),同时用户提交的数据中可能会带一些恶意的JS或CSS代码,同样需要做转义处理,防止在前端渲染页面时执行这些JS或CSS。
代码中严禁采用SQL拼接的方式构造SQL语句
很多初级PHPer在写SQL时喜欢采用字符串拼接的方式来构造SQL,殊不知这样会导致SQL注入,严谨作法应该是使用SQL预编译(参数绑定)的方式来传递参数,防止通过构造字符串的方式来进行SQL注入。
PHP配置文件安全配置
PHP配置文件中有许多关于安全方面的配置,比如说:magic_quotes_gpc ,这个配置开启后会分析用户提交的数据(POST、GET、Cookie),如果这些数据中含有特殊字符(如:单引号、双引号、反斜线等)则会进行自动转义。
如果没有开启这个配置,那大家对于用户提交过来的POST、GET、Cookie数据需要手动调用addslashes函数来转义。
以上就是偶的观点,对于这个问题大家是怎么看待的呢?欢迎在下方评论区交流 ~ 偶是科技领域创作者,十年互联网从业经验,欢迎关注偶了解更多科技知识!
如果觉得《mysql查询包含反斜杠 PHP编程如何去做防注入 – 数据库 – 前端 phpcms mysql》对你有帮助,请点赞、收藏,并留下你的观点哦!
