Я прав или я что-то упускаю из виду?
Нет, ты совершенно прав. Большой шрифт предназначен для случайных читателей, которые могут как-то не понять суть вашего вопроса.
Различные типы выходных данных требуют различных типов защиты.
Уничтожьте вещи, которые могут быть HTML, и вы будете в большей безопасности против XSS. Правильно цитируйте и избегайте ввода в базу данных, и вы будете в большей безопасности от SQL-инъекций. Следите за неожиданным вводом везде, и вы повысите безопасность своего кода.
Замечательно, что теперь вы полностью осознаете это. Слишком много людей нет.
Я просто обнаруживаю, что PHP дезинфицирует и проверяет фильтры
Это мило, не так ли? Они являются хорошей частью современного PHP. Используйте их неукоснительно, и они вас не подведут. За исключением электронной почты, он терпит неудачу в большом количестве крайних случаев; Я предпочитаю is_email.
Я использовал MySQL mysql_escape_string, чтобы остановить SQL Injection.
Это... не очень хорошая часть современного PHP. Я также надеюсь, что вы используете функцию escape-строки со словом «настоящий», иначе у вас могут быть проблемы.
Думаю, вы готовы к следующему шагу: Изучение PDO. В нем есть подготовленные операторы и заполнители запросов, которые предоставят вам бесплатные и полные защита от SQL-инъекций при правильном использовании. PDO доступен везде, где доступны современные версии PHP. Он встроен прямо в программу. Используйте ее, изучайте ее, любите ее. Или же вы обречены. Обречен!
person
Charles
schedule
19.03.2011