Привет всем, я экспериментировал и начал создавать веб-сайт, который собирается внедрить форум. Я начинаю смотреть на проблемы безопасности, которые могут повлиять на веб-сайт. Такие области, как межсайтовый скриптинг и SQL-инъекции.Предотвращение инъекций SQL
Из исследования, снимающего все теги html, будет предотвращен XSS. Будет ли это вместе с удалением специальных символов SQL, достаточных для предотвращения атак с SQL-инъекциями?
<?php
require "dbconn.php";
$mnam = strip_tags($_GET['blogentername']);
$mcom = strip_tags($_GET['blogmessage']);
$approve = 'N';
$dte = gmdate("d-M-Y H:i:s");
$mnam = mysql_real_escape_string($user);
$mcom = mysql_real_escape_string($mcom);
$query = "INSERT INTO blogentry VALUES ('".$mnam."','".$dte."','".$mcom."','".$approve."','','')";
$results = mysql_query($query)
or die(mysql_error());
header('Location:messages.php?messagesent=1');
?>
Спасибо не все для вас время Энди
Там нет стриппинг SQL специальных символов в коде. Я бы сказал, что нет такой вещи, как «специальные символы SQL» –
Я рекомендую читать OWASP – Esailija
. Способ предотвращения XSS должен корректно ** кодировать ** текст при создании HTML. – SLaks