웹 응용 프로그램에서 데이터베이스 연결 설정을 포함하는 구성 파일 인 ans는 항상 PHP 스크립트의 첫 번째 줄에로드됩니다. 어쩌면 기존의 XSS 및 SQL 주입 위험에 대해 모든 POST 및 GET 데이터를 정리하는 기능을 포함하고자합니다. 이 기능은 XSS 및 SQL 삽입을 위해 PHP에서 POST 및 GET vars를 지우는 방법
function make_safe($variable)
{
$variable = strip_tags(mysql_real_escape_string(trim($variable)));
return $variable;
}
foreach ($_POST as $key => $value) {
$_POST[$key] = make_safe($value);
}
//Same for $_GET & $_SESSION
당신이이 문제에 대한 권장 사항이 있습니까 정말 충분한 경우
나는 확실하지 않다?
두 가지 문제가 있습니다. 한 번에 하나씩 집중하십시오. SQL에 데이터를 삽입 할 때 SQL 주입을 처리합니다. HTML에 데이터를 삽입 할 때 XSS를 다루십시오. – Quentin
[PHP에서 SQL 주입을 방지하는 방법?] (http://stackoverflow.com/questions/60174/how-to-prevent-sql-injection-in-php)은 * 처음 * 문제가있는 복제본입니다 (SQL 삽입). XSS가 두 번째 문제입니다. 너무 방어하는 방법을 설명하는 답변이 많습니다. 주변을 검색하십시오. – Quentin
위에서 언급 한 기능을 사용하면 앱에서 편집자를 사용할 수 있습니까? –