Я читаю о безопасности php в эти дни, и у меня головокружение, объясните, пожалуйста, ясно!Strip_tags или mysql_real_escape_string или add_magic_quotes в php
Я знаю, что я должен использовать strip_tags()
или htmlentities()
для атак XSS. но если мне нужны некоторые теги html, то же самое, что и сообщение в блоге, что мне делать !?
но где я должен использовать mysql_real_escape_string()
и add_magic_quotes()
? эти же?
Другой вопрос: должен ли я использовать mysql_real_escape_string() для каждого SQL-запроса? (INSERT
, UPDATE
, SELECT
, DELETE
, и т.п.)? может ли эта функция плохо повлиять на мои данные (например, в сообщении в блоге, где есть html-теги или '
, ""
)?
add_magic_quotes не является встроенной функцией PHP. – GordonM
'strip_tags()', рассмотренный как метод защиты, несет ответственность за так много поврежденных комментариев в Интернете ... –
о да! Я нашел его здесь: http://php.robm.me.uk/ –