在PHP中,对输入进行消毒是一个有趣的概念。清理意味着将输入中的未授权字符转义。让我们学习一些最佳实践,以安全可靠的方式处理输入。
在mysqli语句中使用real_escape_string()函数。
<?php
$conn= new mysqli("localhost", "root","","testdb");
$street = $conn->real_escape_string($_POST['street']);
?>我们可以htmlentities()在数据库中插入数据并在浏览器中显示时使用和html_entity_decode()。
<?php $data['message'] = htmlentities($message);//at the time of insert in database echo html_entity_decode($data['message']); //at the time of display in browser ?>
在命令提示符下,使用escapeshellarg清理用户输入。
<?php system('ls '.escapeshellarg($data['dir']));?>