提交表单怎么防止sql注入?
来源:12-3 csrf攻击与防范
无无法师
2017-07-19
看到老师讲防止sql注入的视频,Django自带防sql注入,但是呢我的项目后台用的是thinkphp5呀,前端是微信小程序。如果换成django的话整套代码还要自己写
我的项目就是做表单的,这些表单全部是文本框,几乎可以输入任何字符。考虑到安全问题,我想要只允许用户输入",; ! ? 。"这些常用的符号和汉字,否则就报错,这样做可以吗?因为感觉对用户的限制太多了,想咨询一下大家的意见。
写回答
1回答
-
一般orm都会做防止sql注入, php我不太懂, 但是我想这种流行的开源框架肯定会做这种防止sql注入的。 一般这种原理是对用户的输入做转义, 比如将“”这种符号转义然后保存就行了, 但是要注意一下取出来的时候也要转义, 一般template中也需要处理 比如将 <script>这种转义显示 不能直接显示为html不然浏览器容易中招
00
相似问题