一切盡在不言中;最常見的原因是開啟了 magic_quotes_gpc,但又手寫 addslashes。PHP (5.4) 已經移除 magic_quotes 的功能,並且在資料庫部份,改以參數(prepared statement)的方式傳入欄位值(對抗 SQL Injection)。因此從收字串 (GET/POST/FILE) 到進資料庫,原則上可以啥事都不做。
但對於要輸出至 html 的字串,還是需要手動過濾,以免帶有標籤搞亂排版,甚至是嵌了 javascript 被搞 XSS 唷。
一切盡在不言中;最常見的原因是開啟了 magic_quotes_gpc,但又手寫 addslashes。PHP (5.4) 已經移除 magic_quotes 的功能,並且在資料庫部份,改以參數(prepared statement)的方式傳入欄位值(對抗 SQL Injection)。因此從收字串 (GET/POST/FILE) 到進資料庫,原則上可以啥事都不做。
但對於要輸出至 html 的字串,還是需要手動過濾,以免帶有標籤搞亂排版,甚至是嵌了 javascript 被搞 XSS 唷。
No Comments Yet