Re: [請益] 使用MySQL除了注意這些之外…
※ 引述《red0whale (red whale)》之銘言:
: 我們在使用MySQL時都會注意SQL Injection和防止網頁代碼注入
: 也就是會使用addslashes和htmlspecialchars函數
: 在使用MySQL時除了要注意這兩點之外
: 還有沒有其他需要注意的?
: 另外,
: 在寫上傳檔案的PHP程式時,
: 有時候為了防止使用者上傳PHP檔以攻擊伺服器內部而會阻止以「.php」為副檔名的檔案
: 除此之外,是否還有其他須注意的地方?
: 謝謝
htmlspecialchars 是在網頁顯示時,作 html escape 防止 XSS 等攻擊使用
addslashes 建議不要使用,使用 mysql(i)_escape_string / mysql(i)_real_escape_string / PDO prepare.. 等等
原因在這邊:https://stackoverflow.com/questions/4486016/whats-the-difference-between-phps-addslashes-and-mysqli-escape-string
至於安全性的部分,可以參考這篇:https://blog.longwin.com.tw/2008/08/php-sql-injection-xss-security-2008/
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 175.181.38.134
※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1509895493.A.1AB.html
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 2 之 2 篇):