Question

Если я получаю данные с помощью $ _GET из строки URL-адреса и не отображаю эти данные обратно на веб-странице или не выполняю с ним какие-либо действия SQL, следует ли мне по-прежнему использовать escape, регулярное выражение и другой код безопасности? Строка может содержать любой символ.

Надеюсь, что это имеет смысл.

knittl · Answer 1 · 22 апреля 2011

если вы не выводите строку или не передаете ее другой программе (sql, open file, ...), вам не нужно ее экранировать.

John Giotta · Answer 2 · 22 апреля 2011

Если вы не используете параметр URL в операторе SQL, его нельзя использовать как инъекцию SQL.

Должен ли я все еще сбежать?$ _GET и XSS, SQL-инъекция и другие проблемы безопасности PHP

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Должен ли я все еще сбежать?$ _GET и XSS, SQL-инъекция и другие проблемы безопасности PHP

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы