Question

人可以帮我加入用htmlspecialchars防止XSS在此代码：

<?PHP 
    if(isset($_POST['update'])) { 
     $ts=$_POST['ts']; 
     $user=$_POST['user']; 

     mysql_query("UPDATE users SET block_newfriends='". mysql_real_escape_string($ts). "' WHERE username='" .mysql_real_escape_string($user) . "'"); 
     echo '<div class="rounded-container">'; 
     echo '<div class="rounded-green rounded-done">'; 
     echo '<b>reload</b><br>'; 
     echo '</div>'; 
     echo '</div>'; 
    } 
?> 

我不知道往哪里放他们，这应该是在开机自检功能吧？

Answer 1

与替换$ TS和$用户线：

$ts=htmlspecialchars($_POST['ts']); 
$user=htmlspecialchars($_POST['user']); 

然后独自离开了查询，那么它会在剥离价值的htmlspecialchars使用mysql_real_escape_string()。

Answer 2

你需要使它安全使用取决于你想要做什么不同的功能：

当输出到HTML，使其“HTML安全”在htmlspecialchars包装。

echo 'Writing to browser ' . htmlspecialchars($_POST['t']); 

当您输出到SQL时，通过将其转义为sql来使其成为“sql安全”（请参阅​​下面的注释）。

$sql = 'UPDATE table SET field="' . mysql_escape_string($_POST['t']); 

当您输出到一个URL时，通过转义为url来使其成为“网址安全”。

$link = 'http:/example.com?value=' . urlencode($_POST['t']) 

类似的规则适用于JSON编码，输出到XML等

---

注意MySQL的：你是正确的逃跑，但你使用的是PHP中不再存在的功能（你因此使用PHP的旧版本）。请在手册中检查mysqli或pdo，然后使用这些功能。