#flex3 #mysql-real-escape-string #htmlspecialchars
#flex3 #mysql-real-escape-string #htmlspecialchars
Вопрос:
Я использую Zend AMF remoting в проекте Flex 3. Как мне убедиться, что параметры, которые мое приложение Flex отправляет на мой php, не приводят к SQL-инъекции или другим проблемам безопасности.
Как мне сделать $ parameterArray безопасным? Это массив строковых и числовых значений. Как мне использовать mysql_real_escape_string с $parameterArray? Также нужно ли мне использовать htmlspecialchars? Как мне использовать это в этом случае? Что еще мне нужно сделать, чтобы сделать это безопасным?
PHP:
class MyData {
public function getCrimeGradeData($parameterArray) {
$type = $parameterArray[0];
$latmax = $parameterArray[1];
$latmin = $parameterArray[2];
$lngmax = $parameterArray[3];
$lngmin = $parameterArray[4];
$startDateTime = $parameterArray[5];
$endDateTime = $parameterArray[6];
$query = "SELECT reportdatetime, type, latitude, longitude FROM table WHERE latitude < $latmax AND latitude > $latmin AND longitude < $lngmax AND longitude > $lngmin AND type = '$type' AND reportdatetime BETWEEN '$startDateTime' AND '$endDateTime'";
cont...
Ответ №1:
зайдите сюда и посмотрите
Комментарии:
1. Привет, The_asMan, спасибо за ссылку. Я думаю, что мне следует использовать mysql_real_escape_string. Нужно ли мне также использовать htmlspecialchars? Спасибо.
2. htmlspecialchars в основном используется для отображения зарезервированных символов HTML в документе HTML. Вот несколько примеров «<» и «>». mysql_real_escape_string должен соответствовать вашим потребностям в базе данных