这里有一个愚蠢的问题,我应该清理每个 $_POST/$_GET 变量,即使它只是用于比较之类的东西?
例:
if ( $_POST[ 'example' ] === 1 ){ // Do Something }
我理解对数据库等使用预准备语句的想法,但我很好奇/担心用户放置一些 PHP 代码或其他东西并在检查期间运行。
输入可以在评估它们的上下文中使用,则只需担心清理输入 - 例如,在数据库脚本中,或作为网页上的 HTML。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium