htmlspecialchars

php - 符号问题

我的数据库中存储了一个链接，假设它是http://somedomain.com/page.php?username=tom&surname=smith当我将其返回到html时，由于&而出现xhtml错误如何将&转换为&此外，我在数据库中有一些链接已经有&而不是&那么，如何在需要时转换&，而不是将&转换为& 最佳答案不要存储转义/编码文本。当您检索文本时，您永远不知道文本需要采用什么格式。如果你存储它是URL编码的，但你必须将它插入到HTML文档中，那么你必须取消url编码并切换到HTML编码。这是一种浪费。最好以“原始”格

php 符号 code section htmlspecialchars mysql

php - 这有点过分还是我做对了？

这个问题在这里已经有了答案:关闭10年前。PossibleDuplicate:BestwaytopreventSQLinjection?对于登录:$username=mysql_real_escape_string(htmlspecialchars(strip_tags(trim($_POST['username'])),ENT_QUOTES));$password=mysql_real_escape_string(htmlspecialchars(strip_tags(trim($_POST['password'])),ENT_QUOTES));为了插入数据，我重新使用了相同的mys

过分 php section mysql_real_escape_string htmlspecialchars mysql

PHP 安全性、intval 和 htmlspecialchars

User:你能从上面的代码中看出什么威胁吗？我必须对我输出的所有内容使用htmlspecialchars吗？我应该使用is_numeric还是intval来检查获取的是数字？我只是在构建一个最小的网站。我只是想知道上面的代码是否容易受到sql注入(inject)、xss的攻击？最佳答案一般来说mysql_real_escape_string()是首选，但因为它是一个数字，intval()可以。所以是的，从安全角度来看，它看起来不错。但有一件事，在许多平台上，整数被限制为32位，所以如果你想处理大于~21亿的数字，那么它将不起作用

htmlspecialchars intval section code php mysql security

php - htmlentities 和 htmlspecialchars 拒绝处理字符串

自从上次在我的Debian机器上更新到PHP55.4.0-3后，我注意到有些页面有空字段，而这些字段本应是来自MySQL数据库的文本。我试了一下，发现了问题。奇怪的是这是打印的内容:string(18)"phphu3:theForum"string(0)""string(18)"phphu2score-rule"string(0)""string(6)"phphu"string(0)""string(15)"HU8:Binarycnt"string(0)""但是如果我使用带有硬编码内容的htmlentities->htmlentities("test");它就像魅力一样。另外，如果我这

htmlspecialchars htmlentities 34 string code php mysql row html-entities

php - 何时使用 : htmlspecialchars?

这个问题在这里已经有了答案:whentousehtmlspecialchars()function?(4个答案)关闭9年前。我需要使用以下方法将我的字符串转换为特殊字符:htmlspecialchars我的问题是，我应该在将数据提交到数据库之前转换它还是在显示它之前转换它？

htmlspecialchars 何时 section notice php mysql

php - 在将用户输入存储到数据库之前对其进行转义/编码或将其按原样存储在数据库中并在检索时转义它更好吗？

我正在使用htmlspecialchars()功能来防止XSS攻击。我对以下将数据存储在数据库中的更好方法有疑问。方法1:应用htmlspecialchars()后存储用户输入值功能。使用它用户输入""将变成“”.方法2:按原样存储用户输入并应用htmlspecialchars()方法，同时检索数据并将其显示在页面上。我怀疑的原因是我认为使用方法1会对数据库有开销，而使用方法2数据在通过php请求时需要一次又一次地转换。所以我不确定哪个更好。有关更多信息，我正在使用htmlspecialchars($val,ENT_QUOTES,"UTF-8")这样也会转换'和"。请帮我解开疑惑。如果

原样 php code section htmlspecialchars mysql xss

php - 防止服务器端脚本、XSS

是否有任何预制脚本可用于PHP/MySQL以防止服务器端脚本和JS注入(inject)？我知道一些典型的函数，例如htmlentities、特殊字符、字符串替换等，但是是否有一些简单的代码或一个函数可以对所有内容进行故障保护？任何想法都会很棒。非常感谢:)编辑:去除任何可能有害的东西的通用词，即。大于/小于符号、分号、“DROP”等词？我想我基本上只是想将所有内容压缩为字母数字，我猜...？最佳答案切勿将任何未通过htmlspecialchars()的数据输出到HTML流你就完成了。简单的规则，易于遵循，彻底消除任何XSS风险。

php XSS code section htmlspecialchars mysql security

php - "×"字符打破 MySQL 记录

“×”符号(不是小x)，我相信这是乘法符号，正在打破MySQL记录。问题是每当我尝试检索具有此符号“×”的记录时，该记录返回为空白。顺便说一句，我正在使用PHP和WAMP服务器。排序规则是latin1_swedish_ci。但是，更改排序规则似乎并不能解决问题。mysql版本是5.6.17这是我从表中获取记录并将其保存到对象的函数:publicfunctionassign(){$SQL="SELECT*FROM".$this->tb."ORDERBY".$this->order;$this->tb_handle=mysqli_query($this->db_handle,$SQL);$

amp MySQL this section htmlspecialchars php sql mysqli

php - 我需要在准备好的语句中使用 htmlentities() 或 htmlspecialchars() 吗？

在一篇文章中http://dev.mysql.com/tech-resources/articles/4.1/prepared-statements.html，它说了以下内容:Therearenumerousadvantagestousingpreparedstatementsinyourapplications,bothforsecurityandperformancereasons.PreparedstatementscanhelpincreasesecuritybyseparatingSQLlogicfromthedatabeingsupplied.Thisseparationo

htmlspecialchars htmlentities strong code php mysql

php - htmlspecialchars() - 如何以及何时使用和避免多次使用

我正在为我的老板构建一个PHP内联网。一个简单的客户、订单、报价系统。它将被拒绝从Internet访问，并且只能由3人使用。我不太关心安全性，因为我关心验证。Javascript在所有机器上都被禁用。我遇到的问题是:员工将有效数据输入包含以下任何:;[]"'等的表单。将此数据形成$_POSTS到validationAndProcessing.php页面，并确定员工是否将数据输入到字段中。如果他们不这样做，他们将被重定向回数据输入页面，他们错过的字段会以红色突出显示。htmlspecialchars()应用于根据之前输入的内容重新填充到表单的所有数据。如果成功将数据输入数据库，然后员工将

htmlspecialchars 何时 section amp php mysql html validation forms

2 3 456 7 8