我想要一个函数来防止SQL注入和xss攻击使用php,如
function name($inp){
return sql(xss($inp));
}
谢谢
这里不需要函数,只要使用PDO就足够了。这是一篇快速的文章,解释了PDO如何防止SQL注入
http://mstd.eu/index.php/2016/07/05/how-can-i-prevent-sql-injection-in-php/所以PDO扩展和准备语句,什么处理sql注入?其思想是用占位符准备查询,然后使用这些占位符在将查询发送到数据库服务器之前将经过处理的数据注入查询。对于程序员来说,这样做的好处是你不需要做任何额外的事情——在将用户输入传递给数据库之前,prepared语句已经为你完成了所有的格式化。
使用PDO所需的一切都可以在PHP文档中找到:
http://php.net/manual/en/book.pdo.php通过转义输出而不是输入来防止XSS攻击,请查看htmlspecialchars
函数http://php.net/manual/en/function.htmlspecialchars.php