В дополнение к превосходному ответу Cheekysoft:
- Да, они будут охранять Вас, но только если они используются абсолютно правильно. Используйте их неправильно, и Вы все еще будете уязвимы, и можете иметь другие проблемы (например, повреждение данных)
- , используйте параметризированные запросы вместо этого (как указано выше). Можно использовать их через, например, PDO или через обертку как груша DB
- Удостоверяются, что magic_quotes_gpc и magic_quotes_runtime прочь в любом случае, и никогда случайно не включаются, даже кратко. Это ранняя и глубоко дезинформированная попытка разработчиков PHP предотвратить проблемы безопасности (который уничтожает данные)
нет действительно серебряной пули для предотвращения инжекции HTML (например, перекрестные сценарии сайта), но можно быть в состоянии достигнуть его более легко, если Вы пользуетесь библиотекой или обрабатываете систему по шаблону для вывода HTML. Прочитайте документацию для этого для того, как выйти из вещей соответственно.
В HTML, вещей нужно оставить по-другому в зависимости от контекста. Это особенно верно для строк, помещаемых в JavaScript.
задан Michael Stum 9 December 2009 в 01:40
поделиться