假设我通过file_get_contents()导入一个段落或获取用户输入,可能有单引号或双引号或两者。将所述内容转换为变量并在之后进行操作的安全方法是什么?
答案 0 :(得分:0)
这取决于您稍后将如何处理输入:
输出为HTML:
$input = htmlspecialchars($input);
在shell命令中使用它:
$input = escapeshellarg($input);
在数据库查询中使用
如果你使用准备好的陈述,你没事。如果不是(为什么?),请使用:
$input = mysqli_real_escape_string($mysqli, $string);
// or
$input = PDO::quote($input);
// other database extension may introduce their own quoting functions
在正则表达式中使用它:
$input = preg_quote($input);
赞赏此列表的扩展或更正.... :)