サニタイズデータの処理方法については、ここで多くの話があります。 この再書き込みルールを.htaccessに追加するだけで簡単にできますか?ApacheでGETクエリをサニタイズする
RewriteRule ^([\w\-]+)$ index.php?page=$1
私の理解によれば、これは$ 1の文字、数字、_と - のみを許可しますか?
SQLクエリのプリペアドステートメントのこの使用法を追加すると、それはかなり証明するはずです。 はそうでしょうか?
どういうわけか、あまりにも簡単に真実であると感じる、私は何かを欠いている、それを固める方法はありますか?
SQLクエリの使用法について言えば、さらに安全のためのステップとして何を提案しますか?url_decodeは何か良いことができますか? XSSのHTML出力についても、ストリッピングはしません。 CodeVirtuoso
@Freelancer PDOまたはmysqliの準備文は、注射に対して十分な保護とみなされます。他に何もする必要はありません。 Re XSS、リンクを掘り起こしましょう –
@Freelancer Re XSS、HTMLで出力する前に、すべてのユーザーデータで 'htmlspecialchars()'を実行してください。かなり異例の攻撃から保護するために 'strip_tags()'が必要であると主張する一つの答えがあります:http://stackoverflow.com/questions/3623236/htmlspecialchars-vs-htmlentities-when-concerned-with-xss私はそれをどう考えるべきか分かりません - 私は個人的に 'htmlspecialchars()'がすると思います。 –