为什么不用addslashes 或者htmlspecialchars
看了STBLOG和骑士cms后发现为什么他们在将内容插入数据库时 不通过上述函数进行转义呢?各位姐妹兄弟你们在进行数据库插入时是怎么做的? 该转义的自然会转义,并不是所有输入都要经过那几个函数的处理,比如我要输入超文本内容。 哦,看到网上说因为安全性的需要,最好在text属性的文本框提交时加入上面两个函数。
对于 hex说的输入超文本,可以再输出时在反转移啊! 输入超文本一般是需要进行 XSS 过滤的,你的反转义解决不了任何安全问题,还给你造成了一次多余的反转义操作,没意义。 谢谢HEX老大的提醒,我现在的做法是把text里面的全部序列化,然后输出时反序列化呢??
不知道这样做会有什么坏处吗? 序列化有什么用?
建议在数据库里存储原始数据,在输出时做处理。
页:
[1]