极客观点
项目管理
HarmonyOS
对于php中的处理数据的流程?
数据存mysql前,需要做哪些处理?安全一些呢,从mysql读出数据后,还要做哪些处理?
请指点。发表一下你的看法。
mysql
使用php的pdo_mysql扩展
不仅在性能上优势明显
就是安全性,从此不必在为sql注入烦恼
会非常智能的根据字符集对特殊字符quota
你需要做的就是写好sql,prepare, exec,
http://www.piaoyi.org/php/PDO-Mysql-SQL-injection.html
请阅读此文体会
存数据库主要注意两个,XSS和SQL注入两个方面。
这两个漏洞属于常规漏洞,在接受参数的时候一定要做好过滤。我分别从两种漏洞的方法说一下吧。
SQL注入,在接收参数的时候需要做好过滤,比如你知道接受的是一个用户ID,那应该是整形数据,直接用intval()先过滤,在执行的时候尽量使用PDO,实在不能使用PDO也好做好参数内容是可控的。
XSS部分,xss主要有三种类型,反射,存储,dom。接收的时候也是需要做好过滤,反射和存储这里可以使用htmlspecialchars来防范,dom型xss主要在于前端
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
我们知道MySQL字段可以存放纯文本,但是富文本有图片,有标题样式等情况,一般是怎么进行存储的呢?
有一个需求:想要进行富文本进行描述。但是我们想要使用关系型数据库MySQL存储这个描述文件,请问一般的解决方法是什么样的呢?举例:富文本编辑器lexical我们知道MySQL字段可以存放纯文本,但是有图片,有标题样式等情况,一般是怎么进行存储的呢?5 回答3.2k 阅读✓ 已解决
如何在SpringBoot/MySQL事务中并行执行多条SQL?
SpringBoot/MySQL 相关问题向大佬们请教一个问题,一个事务中要执行多条SQL,比如下单场景,扣减账户余额、修改商品库存、生成流水记录、生成发货记录等操作,假设这些操作比较耗时,有没有什么方法可以让这些SQL在一个事务中并行执行提高性能。3 回答3.6k 阅读✓ 已解决
求java/php大佬帮帮忙?
最近遇到一个需求,需要对接第三方平台,然后对面只给公钥和私钥 ,本身我是用php开发的,第三方的demo 是java 头大完全不知道什么意思,看不懂java写法 有没有大哥帮我写个php的类这是第三方demo提供的加密加签方法以下是完整文件package com.example.guojindemo.utils;1 回答4.1k 阅读✓ 已解决
新人求看下如何用php对接第三方接口?
新人求解第三方的对接口怎么写curl 求大神写个php 的curl3 回答1.8k 阅读✓ 已解决
Hyperf Swagger 如何使用?
根据 https://hyperf.wiki/3.1/#/zh-cn/swagger?id=hyperf-swagger 官方文档安装配置,但是文档太简单了,出了问题不知道怎么排查,网络文章写的也让人摸不着头脑,不知道别人的json 是怎么生成的。2 回答2.2k 阅读✓ 已解决
请问,如下我们在定义Link表的时候,是否是只能定义为4个字段?
定义关系型数据库表的时候,遇到一个疑问: {代码...} 请问,我们在定义Link表的时候,是否是只能定义为4个字段? {代码...}2 回答2.8k 阅读✓ 已解决
上面的sql通过login_time排序但是结果不对?
上面的sql通过login_time排序但是结果不对?login_time类型是DATETIME5 回答1.4k 阅读
以上做法包括不限于使用PHP。
在PHP中防SQL注入的方法推荐使用 Pdo prepare 语法并设置:$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
在PHP中防 XSS 一般使用 htmlspecialchars 处理用户输入的字段。另外,单靠这个是不够的,还需要对 img 的 src 等做处理。