PHP Lang
  1. PHP Lang
  3. PDO & Sanitize Date / Remove HTML
Intereting Posts
Какая версия php добавляет анонимные функции PHP Как заменить апострофы текстовой области клиентов с помощью escape-символа gzzle ver 6 post method не является woking как вызвать файл PHTML на странице CMS Magento Как я могу извлечь данные из таблицы HTML в PHP? Laravel / Eloquent: hasManyThrough WHERE Невозможно вставить путь для нескольких изображений в таблице базы данных с помощью codeigniter Получение образования с помощью API-интерфейса Facebook в PHP Переименование дубликатов файлов в папке с php В Kohana 3, как вы определяете ошибки, сделанные во время запроса? Блокирует ли PHP proc_open веб-запрос? Лучше ли использовать mysql или файлы для хранения данных? json to html table в php / javascript Количество числа итераций в цикле foreach Вставка xPath до и после – с DOM и PHP

PDO & Sanitize Date / Remove HTML

Я разрешаю пользователям обновлять свое имя с помощью этого кода. 

$dbh = connect(); $q = $dbh->prepare('UPDATE Users SET username=:name WHERE User_ID=:id LIMIT 1'); $q->bindParam(":id", $loggedInUser->user_id, PDO::PARAM_INT); $q->bindParam(":name", $_GET['name'], PDO::PARAM_STR); $q->execute();

A) достаточно ли для дезинфекции информации? б) когда я помещаю теги HTML там, как <b>name</b> он на самом деле отображается жирным шрифтом на моем сайте! Есть ли опция, в которой я могу удалить PDO из HTML?

Выглядит разумно. Однако я бы предложил использовать POST вместо GET для деструктивных / манипулятивных операций. У вас гораздо меньше шансов пострадать от атак CSRF, если вы придерживаетесь данных POST, хотя это не делает вас полностью иммунными.

Если вы действительно не хотите, чтобы пользователи вводили HTML в поле имени, не беспокойтесь о фильтрации данных на пути в базу данных. htmlspecialchars() из него через htmlspecialchars() или htmlentities() .

Я всегда придерживался идеи, что данные должны поступать в базу данных как можно более сырой.

Редактирование: почти забыл, убедитесь, что ожидаемые значения в $_GET / $_POST фактически существуют, прежде чем пытаться их использовать, например 

 if (isset($_POST['name'])) { // now use it

A) Прочтите инструкцию :

Параметры для подготовленных операторов не обязательно должны указываться; драйвер автоматически обрабатывает это. Если приложение использует исключительно подготовленные операторы, разработчик может быть уверен, что SQL-инъекция не произойдет (однако, если другие части запроса создаются с несвязанным вводом, SQL-инъекция по-прежнему возможна ).

B) Никогда не доверяйте данным пользователя. Используйте htmlspecialchars .

C) Используйте $ _POST и токены для запросов, которые изменят любые данные, чтобы избежать CSRF .

Никогда не доверяйте пользовательскому вводу! Как минимум, оберните $_GET['name'] в функцию дезинфекции, например mysql_real_escape_string (), чтобы предотвратить атаки SQL Injection. А затем, когда вы выводите данные, предоставленные пользователем, обязательно оберните их в htmlspecialchars (), чтобы предотвратить атаки на межсайтовый скриптинг (XSS).