我知道区分“不干净”和“干净”变量非常重要,因此我不会意外地最终允许sql注入或XSS发生,但我不确定我应该使用什么命名约定.
有什么建议?
首先,变量可以用各种方式编码,比如sql,urls,html,……你也应该编码尽可能接近消费.即输出前的html编码,传递给MysqL之前的sql escape …
当然在sql的情况下,您应该更喜欢准备语句而不是构建字符串查询.
因此,如果您坚持使用命名约定,则应基于应用于该变量内容的转义/编码,而不是您未清理的内容.