当用户在我的网站上搜索时,我会获取get请求并对其进行
mysql查询.我的原始代码看起来像这样:$q = $_GET [‘q’];.
现在urldecode正在为我添加斜杠,但我决定尝试使用santize字符串过滤器过滤器.
当我使用$q = urldecode($_ GET [‘q’]);时,这是我的sql:
SELECT * FROM item WHERE title LIKE '%you\'re%' OR description LIKE '%you\'re%' ORDER BY date DESC
当我使用时,这是我的sql:q = filter_var(urldecode($_ GET [‘q’]),FILTER_SANITIZE_STRING);
SELECT * FROM item WHERE title LIKE '%you\'re%' OR description LIKE '%you\'re%' ORDER BY date DESC
sql是完全一样的,但我得到不同的结果,我不知道为什么?只是使用urldecode从数据库返回正确的结果,但filter_var什么都不返回(即使sql是相同的).
解决方法
Urldecode是使用错误的函数 – PHP将自动解码$_GET中的任何变量,因此您不需要和
PHP Manual says doing so is dangerous一样.
人们经常谈论消毒输入,但我更愿意考虑消毒输出.
例如,清理输入将是:
$q = urldecode($_GET['q']); $sql = "SELECT * FROM item WHERE title LIKE '%{$q}%'" // later echo "These items match '$q'";
消毒产量:
$sql = "SELECT * FROM item WHERE title LIKE '%".MysqL_real_escape_string($_GET['q'])."%'" // later echo "These items match '".htmlspecialchars($_GET['q']).'";
请注意,在后一个示例中,我使用了不同的函数 – 一个用于将数据转换为MysqL安全格式,另一个用于将数据转换为HTML安全格式.在知道对数据执行的操作之前,您无法知道要运行哪个函数.