Det finns tydliga hot du (förmodligen) pratar om här:
- Du måste sanera data som infogas i databasen för att undvika SQL-injektioner .
- Du måste också vara försiktig med informationen som visas för användaren, eftersom den kan innehålla skadliga skript (om den har skickats av andra användare). Se Wikipedias inlägg för skript över webbplatser (alias XSS)
Det som är skadligt för din databas är inte nödvändigtvis skadligt för användarna (och vice versa). Du måste ta hand om båda hoten i enlighet med detta.
I ditt exempel:
- Använd mysqli::real_escape_string () på data som infogas i din db (sanering)
Du vill antagligen använda renaren innan data infogas - se bara till att den är "renad" när användaren får den.
Du kan behöva använda striplashes
() på data som hämtats från db för att visa den korrekt för användaren om magic_quotes är på