php-在提交到MySQL数据库之前清理文本输入
作者:互联网
我目前正在努力确保在将要提交给我正在处理的Web应用程序的数据库中提交的文本正确处理后再提交给数据库,然后正确地进行检索和显示.
忽略当前正在使用的清理功能的混乱情况(目前是一团糟,无法正常工作),这是我计划做的事情:
>使用CKEditor进行文本输入.它会自动将HTML标记/符号转换为其HTML实体.
>利用PDO准备好的语句将文本提交到数据库.
这足以正确清理输入吗?我一直在阅读,很多人说使用魔术引号,但是我读到魔术引号很旧,建议不要使用它.
预先感谢您的协助!
解决方法:
好吧,PDO只适合初学者手册中的基本情况.
无论任何复杂的问题,都会给PDO以及任何其他API带来麻烦.
但是,只要您准备浪费时间编写巨大的insert语句,就在这里回答所有这些问题之后,将每个变量重复六到十次-PDO可以.
但是只是为了让您知道,没有准备好的标识符声明.
至于CKEditor-它不是客户端应用程序吗?如果是这样,它将什么也没有保护.
因此,最好遵循另一个答案的建议-在HTML页面上显示时,通过htmlspecialchars()传递不受信任的用户输入
标签:ckeditor,sanitization,php,database,pdo 来源: https://codeday.me/bug/20191031/1974231.html