使用 PHP,避免注入攻击,将特殊字符(如以下所示)存储在 MSQUL 数据库中的最佳方法是什么。
« " ' é à ù
这是我现在的做法:
$book_text=$_POST['book_text'];
$book_text=htmlentities($book_text, "ENT_QUOTES");
$query=//DB query to insert the text
然后:
$query=//DB query to select the text
$fetch=//The fetch of $book_text
$book_text=html_entity_decode($book_text);
通过这种方式,我所有的文本都被格式化为HTML实体。但我认为这占用了很多数据库空间。那么,有更好的方法吗?
使用 utf8 编码来存储这些值。
为了避免注入,请使用 mysql_real_escape_string()(或预处理语句)。
为了防止 XSS 攻击,请使用 htmlspecialchars。
看起来你的问题可以概括为如何使用PHP和MySQL处理和存储UTF8编码。
为了防止SQL注入,你应该使用预处理语句。mysqli 和 PDO 驱动都支持预处理语句。
预处理语句会被驱动自动引用,所以你不需要担心这个问题。
你的数据库表应该使用字符集 utf8 和排序规则 utf8_general_ci 创建。这些 my.cnf 设置将确保你的 MySQL 服务器完全运行在 UTF8 编码下:
[mysqld]
default-character-set=utf8
default-collation=utf8_general_ci
character-set-server=utf8
collation-server=utf8_general_ci
init-connect='SET NAMES utf8'
[client]
default-character-set=utf8
请注意,PHP通常不支持UTF-8,因此您应该小心使用iconv或mbstring库来处理字符串。请参阅PHPWACT以获取良好的概述。
确保将PHP的内部字符集设置为Unicode。
iconv_set_encoding('internal_encoding', 'UTF-8');
mb_internal_encoding('UTF-8');
你还应该确保浏览器通过发送正确的头部或添加一个 <meta> 标签来知道编码。
就这样就可以了。
是的,UTF8编码...
如果您非常担心注入问题,还可以使用预处理语句...
http://www.linearchat.co.uk/2011/08/why-prepared-statements-in-mysql-are-a-good-thing/
同样
http://dev.mysql.com/doc/refman/5.0/en/sql-syntax-prepared-statements.html
你的问题是一堆混乱的集合。你成功地把一切都搞混了。
让我们试着梳理一下。
使用PHP,在MSQUL数据库中存储特殊字符(如下所示)的最佳方法是什么,以避免注入。
这些是不可比较的问题。存储特殊字符是一回事,避免注入是另一回事,完全不同的问题。
$book_text=htmlentities($book_text, "ENT_QUOTES");
要在HTML中使用é à ù字符,您必须设置正确的HTTP标头。 要在数据库中使用é à ù字符,您必须将表编码设置为utf8,并将连接编码设置为utf 8。
"ENT_QUOTES"需要是ENT_QUOTES(没有引号),因为它是PHP预定义常量。我认为你可以原样将其放置在数据库中,当你想要输出时使用htmlentities。 - Wouter J