如何在PHP和MySQL的textarea中给换行符的同时避免SQL注入?
作者:互联网
我想要的是当用户在描述框中输入换行符时,即:HTML中的textarea,则所有数据都安全地存储在SQL数据库中,但是如果用户给出链接,则链接也变为文本,但是当用户在描述文本框中输入回车符或换行符时,则它保存在数据库中,并且在从数据库中检索它时,将再次显示换行符.
<textarea name"description" id="description" rows="4" cols="50">
//In The text area the user enter the text. Here I want if user gives html links then links becomes text and if user give line break then line break store in the database and I can get back as it is how user submitted the form. Also I want to store data securely for avoiding sql injection but dont have the exact idea how to do it.
</textarea>
$text = $_POST['description'];
$text = htmlentities($text); // Here I want to remove html entities for avoiding sql injection
$text = mynl2br($text);
// Now Fire Insert Query All the data save but while retrieving the data I am not able to get line break and turning links to the text.
function mynl2br($text) {
return strtr($text, array("\r\n" => '<br />', "\r" => '<br />', "\n" => '<br />'));
}
这就是我正在执行的操作,但是链接仍然是链接,并且在我检索文本时显示的内容没有换行符.一行或一段落中的所有文本.
请在上面的代码中建议我做错了什么.以及如何避免sql注入并可以安全地存储和检索数据.
解决方法:
要保留新的换行,必须保留原始的换行符,如果要替换它们,则必须换回新的换行符,或者仅在显示页面上的文本(推荐)时才使用nl2br,而不是在存储或检索以进行编辑之前.
链接也同样适用,在存储之前不要更改它们,仅在页面上显示它时才替换它,这样就不会再有编辑问题,并且由于不存储,您可以随时修改链接的生成.结果不过是原来的.
为了避免SQL注入,您不想使用这些魔术函数(htmlentities,strip_tags,magic_quotes等-有很多功能,但都不是完美的)-最佳解决方案是使用准备好的语句:
https://dev.mysql.com/doc/apis-php/en/apis-php-mysqli.quickstart.prepared-statements.html
它通过为值提供占位符来解决该问题,以便用户输入无法修改查询.
标签:laravel,sql-injection,html,mysql,php 来源: https://codeday.me/bug/20191108/2009041.html