我正在使用此代码
<?php
include('connection.php');
$heading = $_POST['upd_head'];
$note = $_POST['upd_text'];
$post_id = $_POST['up_post_id'];
$supd_head= "UPDATE posts SET heading= ?, note=? WHERE post_id=?";
$stmt_head= mysqli_stmt_init($db_conx);
if(!mysqli_stmt_prepare($stmt_head, $supd_head)){
echo "sql is not ready";
}
else{
mysqli_stmt_bind_param($stmt_head, "sss", $heading,$note,$post_id);
mysqli_stmt_execute($stmt_head);
}
?>
当我给这个输入
<script>alert('hack');</script>
它保存在数据库中,并在更新数据后刷新页面时发出警报消息。为什么不先清理数据?但是我认为mysqli_real_escape_string
在使用prepare语句时没有用。
mysqli_stmt_prepare
不是为了防止跨站点脚本(XXS)
这完全取决于您如何显示数据。上面的链接显示了一个示例:
echo htmlspecialchars($string, ENT_QUOTES, 'UTF-8');
可以在OWASP网站上找到很多信息
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句