Для функции поиска я написал запрос MySQL, который должен выполняться скриптом PHP. Я не выполняю полнотекстовый поиск. Вместо этого я выполняю поиск, используя следующий метод: … WHERE field LIKE '%etc%' AND field REGEXP '[[:<:]]etc[[:>:]]' Теперь моя идея – подготовить эти динамические значения в PHP, например: $word = '2*3%5_1^0'; // just an example $wordLike = strtr($word,array('\\'=>'\\\\','%'=>'\\%','_'=>'\\_')); […]
Поэтому я знаю о MySQL-инъекции и всегда избегаю ввода всех моих пользовательских данных перед тем, как поместить их в свою базу данных. Однако мне было интересно, представьте, что пользователь пытается отправить запрос для ввода, и я убегаю. Что делать, если я в последующий момент беру это значение из базы данных и использую его в запросе. […]
Есть ли где-то функция catchall, которая хорошо подходит для дезинфекции ввода пользователя для SQL-инъекций и атак XSS, но при этом допускает определенные типы тегов html?
У меня есть сайт, на котором пользователи могут публиковать материалы (как в форумах, комментариях и т. Д.), Используя индивидуальную реализацию TinyMCE. Многим из них нравится копировать и вставлять из Word, что означает, что их вход часто приходит с множеством связанных встроенных форматирования MS. Я не могу просто избавиться от <span whatever> поскольку TinyMCE полагается на […]