-1
我正在使用以下脚本更新MYSQL表中的一些数据,为此我正在从用户处获取数据。但它并不妨碍JavaScript和html标签。PHP PDO:如何防止JavaScript和html标记注入
$attri= //containing field name like ("name=?, email=?")
$value= //containing corresponding values like ("john", "[email protected]")
$sql_pro = "UPDATE regist SET ".$attri." WHERE user_id = ".$_SESSION['user_id'];
$stmt_pro = $db->prepare($sql_pro);
$i=1;
foreach($value as $k=>$v){
$stmt_pro->bindValue($i,$v, PDO::PARAM_STR);
$i++;
}
$stmt_pro->execute();
if($stmt_pro){
return true;
}
如何防止javascript和html标记注入?
更新 在PHP PDO中添加数据库之前,有没有什么好方法可以净化输入字段数据?
我知道如何用mysql_real_escape_string,htmlentities和strip_tags来做到这一点。 谢谢
该代码与您遇到的问题并不真正相关。在显示方面只需通过htmlspecialchars回应数据库内容,你应该很好。 – Orangepill
@ Let'sCode我是PDO的新手。我只知道关于mysqli_real_escape_string和htmlentities –
如何使用您的值做strip_tags()... – steven