PHP安全性,intval和htmlspecialchars

PHP 2020-08-22 
<?PHP

$id = intval($_GET['id']);

 $sql = MysqL_query("SELECT username FROM users WHERE id = $id");
 $row = MysqL_fetch_assoc($sql);

$user = htmlspecialchars($row['username']);

?>

<h1>User:<?PHP echo $user ?></h1>

您能否在上述代码中看到任何威胁?我必须在输出的所有内容上使用htmlspecialchars吗?我应该使用is_numeric或intval来检查get是否为数字?

我只是建立一个最小的网站.我只是想知道上面的代码是否容易受到sql注入,xss?

解决方法

一般来说 mysql_real_escape_string()是首选,但因为它是一个数字,intval()就可以了.所以是的,从安全角度看它看起来不错.

但有一点,在许多平台上,整数限制为32位,所以如果你想处理大于21亿的数字,那么它将无法工作.好吧,无论如何,它都不会起作用.

这些安全预防措施适用于任何形式的用户输入,包括cookie(许多人忘记的事情).

相关文章

vue+thinkphp5实现微信扫码支付(NATIVE支付)
统一支付是JSAPI/NATIVE/APP各种支付场景下生成支付订单,返...
uniapp+thinkphp5实现微信扫码支付(APP支付)
统一支付是JSAPI/NATIVE/APP各种支付场景下生成支付订单,返...
uniapp+thinkphp5实现微信登录
前言 之前做了微信登录,所以总结一下微信授权登录并获取用户...
【PHP】关于fastadmin框架中使用with进行连表查询时setEagerlyType字段的理解
FastAdmin是我第一个接触的后台管理系统框架。FastAdmin是一...
【workerman】uniapp+thinkPHP5使用GatewayWorker实现实时通讯
之前公司需要一个内部的通讯软件,就叫我做一个。通讯软件嘛...
uniapp+thinkphp5实现微信支付(JSAPI支付)
统一支付是JSAPI/NATIVE/APP各种支付场景下生成支付订单,返...