php-从$_GET / $_ POST获取信息并将其保存到数据库的做法？

从获取/发布中获取信息并将信息保存到数据库时,当今的最佳实践是什么？数据仍然像过去那样逃脱了吗？还是有其他实践？另外,HTMLPurifier可以放在哪里？我目前正在使用它来过滤富文本.

解决方法:

从不将数据从GET保存到数据库.

即使您进行了充分的验证和转义,也永远不要保存GET中的数据. GET不应更改服务器上的信息.

在更改服务器(数据库或服务器文件)上的任何内容之前,请检查请求是否为POST或PUT或DELETE(如果适用)

POST应该更改服务器的状态.因此,在更新表或更改服务器上的任何文件之前,请检查请求方法是否为post.

处理之前验证输入

如果期望整数,请验证输入确实是整数.

在数据库查询中使用或添加到输出之前转义输入

出于查询目的,请转义输入内容,以防万一您将输入内容直接打印到输出中,然后去除斜线并进行清理.

拥有用户会话权限时,将易腐令牌用于POST

如果您有用户登录,请使用访问令牌,并在每次访问或每5分钟左右更新一次令牌.

没有用户会话时使用访问令牌

正如Ankur建议的那样,当您没有登录会话时,请使用访问令牌.但这是不可靠的.

标签：php,mysql,security,sql-injection
来源： https://codeday.me/bug/20191013/1906121.html