Безопасно сохранять комментарии пользователей без проверки: mysql_real_escape_string

Question

Я просто хочу его подтвердить, потому что mysql внесут некоторые изменения в комментарий, например, HTML-код, который он добавляет \" Я знаю, что он защищен, но вы можете мне предложить? Я сначала сохраняю его в базу данных, а затем показываю его в поле комментариев.

Я использую:

Или я должен использовать это:

if (isset($_POST['comment-post'])) { 
    $comment = mysql_real_escape_string($_POST['comment']); 
    if ($id != "" && strlen(trim(preg_replace('/\xc2\xa0/',' ',$comment))) != 0) { 
     $add = mysql_query("UPDATE users SET comments='$comment' WHERE id='$id'"); 
    } 
} 

Пример комментария пользователь может опубликовать это:

Hello how are you? 
<img src="http://i840.photobucket.com/albums/zz324/wonderfulworld1/Hearts/rt28h.gif"> 

Answer 1

Я бы рекомендовал прекратить использование функций Mysql_ *, они устарели и исчезнут с PHP в более поздних версиях.

Проверьте PDO или Mysqli, оба из них подготовили заявления, которые помогут вам в решении подобных проблем.

Answer 2

Нет, это не безопасно. Код, который вы опубликовали, уязвим для SQL injections при выполнении запроса и межсайтового скриптинга, когда комментарий отображается на ваших страницах.

Вы всегда должны фильтровать пользовательский ввод, экранируя его с помощью mysqli_real_escape_string и strip_tags (или filter_var) функций.

Answer 3

mysql_real_eascape_string защищает от атак SQL-атаки, но не дезинфицирует данные против других возможных атак. То же самое верно для подготовленных заявлений. Если вы используете mysql, вам следует избегать корректных данных.

Однако, если вы показываете данные пользователя, вам необходимо убедиться, что данные, отображаемые вами, также чисты. Вы должны защищать теги повторений, например <script></script>, которые появляются в вашем потоке вывода без ответа.