Я думаю, что если кто-то захочет использовать PHP и MySQL или какой-нибудь другой сервер базы данных:
(int)$foo
. Подробнее о типах переменных в PHP читайте здесь . Если вы используете библиотеки, такие как PDO или MySQLi, всегда используйте PDO :: quote () и mysqli_real_escape_string () . Примеры библиотек:
---- PDO
----- Никакие заполнители - не спешили для SQL-инъекций! Это плохо
$request = $pdoConnection->("INSERT INTO parents (name, addr, city) values ($name, $addr, $city)");
----- Без имени заполнители
$request = $pdoConnection->("INSERT INTO parents (name, addr, city) values (?, ?, ?);
----- Именованные заполнители
$request = $pdoConnection->("INSERT INTO parents (name, addr, city) value (:name, :addr, :city)");
--- MySQLi
$request = $mysqliConnection->prepare(' SELECT * FROM trainers WHERE name = ? AND email = ? AND last_login > ?'); $query->bind_param('first_param', 'second_param', $mail, time() - 3600); $query->execute();
PS:
PDO побеждает в этом сражении с легкостью. Благодаря поддержке двенадцати различных драйверов баз данных и именованных параметров мы можем игнорировать небольшую потерю производительности и привыкнуть к ее API. С точки зрения безопасности, оба они являются безопасными, пока разработчик использует их так, как они должны использоваться
. Но хотя PDO и MySQLi довольно быстры, MySQLi выполняет незначительную скорость в тестах - ~ 2,5% для незаготовленных отчетов и ~ 6,5% для подготовленных.
И, пожалуйста, проверьте каждый запрос в своей базе данных - это лучший способ предотвратить инъекцию.
Когда Вы вкладываете комментарий, замену "-" с "-". Когда Вы не вкладываете, инвертируете процедуру. Это не <!--
, который запрещается, но --
.
Пример:
<!-- some stuff
<!- - some inner stuff - ->
<!- - a sibling - ->
the footer -->
Это не может быть сделано. -->
будет всегда заканчивать существующий комментарий HTML.
У некоторых редакторов есть команды комментария/некомментария, которые могут автоматически обработать существующие комментарии в блоке текста. Visual Studio, например, делает это при нажатии Ctrl+KC и Ctrl+KU.
Я думаю, что это не позволяется, но насколько я знаю, что это работает в большинстве главных браузеров кроме Firefox.
попробуйте использовать это
<!--
это начало комментария
<%-- this is another comment --%>
<%-- this is another one --%>
->
конец комментария.