PHP 5.2引入了filter_var函数。

它支持大量的SANITIZE, VALIDATE过滤器。

PHP 5.2引入了filter_var函数。

它支持大量的SANITIZE, VALIDATE过滤器。

不。你不能在没有任何上下文的情况下过滤数据。有时你想把SQL查询作为输入，有时你想把HTML作为输入。

您需要筛选白名单上的输入——确保数据符合您所期望的某些规范。然后，您需要在使用它之前对它进行转义，这取决于您使用它的上下文。

为SQL转义数据(防止SQL注入)的过程与为(X)HTML转义数据(防止XSS)的过程非常不同。

只是想添加关于输出转义的主题，如果您使用php DOMDocument使您的html输出，它将在正确的上下文中自动转义。属性(value="")和<span>的内部文本不相等。 为了防止XSS，请阅读以下内容: OWASP跨站防御备忘单

不要试图通过清除输入数据来防止SQL注入。

相反，不允许在创建SQL代码时使用数据。使用使用绑定变量的预制语句(即在模板查询中使用参数)。这是防止SQL注入的唯一方法。

有关防止SQL注入的更多信息，请访问我的网站http://bobby-tables.com/。

有一个技巧可以帮助您在特定情况下使用/mypage?id=53，在WHERE子句中使用id是为了确保id确实是一个整数，如下所示:

if (isset($_GET['id'])) {
  $id = $_GET['id'];
  settype($id, 'integer');
  $result = mysql_query("SELECT * FROM mytable WHERE id = '$id'");
  # now use the result
}

但当然，这只排除了一个特定的攻击，所以阅读所有其他的答案。(是的，我知道上面的代码不是很好，但它显示了具体的防御。)