Er zijn verschillende bedreigingen waar je het (waarschijnlijk) over hebt:
- Je moet ontsmetten gegevens die in de database worden ingevoegd om SQL-injecties te voorkomen .
- Je moet ook voorzichtig zijn met de gegevens die aan de gebruiker worden getoond, aangezien deze schadelijke scripts kunnen bevatten (als deze door andere gebruikers zijn ingediend). Zie Wikipedia's artikel voor cross-site scripting (ook bekend als XSS)
Wat schadelijk is voor uw database is niet per se schadelijk voor de gebruikers (en vice versa). Je moet dienovereenkomstig voor beide bedreigingen zorgen.
In jouw voorbeeld:
- Gebruik mysqli::real_escape_string () op de gegevens die in uw db worden ingevoegd (opschonen)
U wilt de luchtreiniger waarschijnlijk gebruiken voordat de gegevens worden ingevoerd - zorg er gewoon voor dat deze is "gezuiverd" tegen de tijd dat de gebruiker deze ontvangt.
Misschien moet je striplashes
gebruiken () op gegevens die zijn opgehaald uit de db om deze correct weer te geven aan de gebruiker als magic_quotes zijn aan