0
検索クエリのユーザー入力をサニタイズし、ユーザーが&と入力すると、&に変換されません。また、ユーザーが&と入力すると変換されません。 〜&?htmlentitiesに変換せずにユーザー入力を消化する
A
答えて
0
MySQLデータベースを照会している場合は、私がmysql_real_escape_string()機能をお勧めします。私はあなたがあまりにも多くの問題を抱えてはならないとは思わない。文字はいつでも元に戻すことができますが、照会の際にデータベースのサニタイズを確実にする必要があります。
0
<?php
$user = $_POST['username'];
$pwd = $_POST['password'];
// escape username and password for use in SQL
$user = mysql_real_escape_string($user);
$pwd = mysql_real_escape_string($pwd);
$sql = "SELECT * FROM users WHERE
user='" . $user . "' AND password='" . $pwd . "'"
// more code
mysql_close($con);
?>
4
* use `mysql_real_escape_string()`
* Use `strip_tags()` to filter out unwanted HTML
* Escape all other output with `htmlspecialchars()`
関連する問題
- 1. ユーザー入力による重量変換
- 2. ファイルを作成せずに画像を入力ストリームに変換する
- 3. ユーザー入力を整数に変換する
- 4. カスタムエラーメッセージでユーザー入力を整数に変換する
- 5. Matlab。ユーザー入力行列を文字列に変換する
- 6. djangoフォームクラスを使用せずに入力文字列を消去する
- 7. jquery:シリアル化せずにPHPに入力値を投稿
- 8. 入力を変更せずにパイプリロードをトリガーする
- 9. asp.net(mvc3)でユーザー入力を消去して安全にする
- 10. 入力ストリームをビットマップに変換する
- 11. ユーザー入力(ハイチャート、JavaScript、Django)でデータを動的に変換
- 12. htmlentities()とmysql_real_escape_string()はPHPでユーザ入力を消去するのに十分ですか?
- 13. 先頭にアンパサンドがhtmlentitiesに変換する
- 14. キーボード入力をx86 DOSアセンブリで「消費」せずに読む方法
- 15. 入力が不正な場合に例外をスローせずにvarchar値をintに変換する
- 16. ユーザーの入力中にテキストを笑顔のテキストに変換する
- 17. 値を入力せずにパスワードフィールドの値
- 18. JavaScriptのページを変更せずにユーザー入力電子メールにアクセスする方法
- 19. 入力データを変化させて出力値を最小にするアルゴリズム
- 20. utcオフセットを含むユーザー入力をカレンダー時刻に変換する方法
- 21. タイプを必要とせずにバイナリからXMLシリアル化に変換する
- 22. URLを変更せずにYiiアプリケーションをフレームに変換する
- 23. mysql c api:数値を文字列に変換せずに挿入する
- 24. readline:入力時に画面上の入力を大文字に変換する
- 25. ユーザー入力をCXに入力
- 26. jqueryシリアル化されたフォーム入力をxml文字列に変換する
- 27. サブミット後に入力ボックスにユーザー入力テキストを保存する
- 28. コマンド用のLD_PRELOAD環境変数をフルパスで入力せずに実行する
- 29. ユーザー入力桁を取得して単語に変換しますか?
- 30. ユーザーとパスワードを入力せずにGoogleドキュメントにアップロードするにはどうすればよいですか?
あなたは私の変換とdeconvertingの例を与えることができますか? – HELP
mysql_real_escape_string()を使用して、mysqlクエリの文字列をサニタイズすることをお勧めします。あなたはデータベースからそれを取得した後にそれを脱化する必要はありません。クエリー - (int)$ variableまたは(float)$変数に入れる前に任意の数値をキャストすることもできます。 strip_tags()とあなたのウェブページに出力する変数が必要になります。 – dqhendricks