有一个技巧可以帮助您在特定情况下使用/mypage?id=53，在WHERE子句中使用id是为了确保id确实是一个整数，如下所示:

if (isset($_GET['id'])) {
  $id = $_GET['id'];
  settype($id, 'integer');
  $result = mysql_query("SELECT * FROM mytable WHERE id = '$id'");
  # now use the result
}

但当然，这只排除了一个特定的攻击，所以阅读所有其他的答案。(是的，我知道上面的代码不是很好，但它显示了具体的防御。)

有一个技巧可以帮助您在特定情况下使用/mypage?id=53，在WHERE子句中使用id是为了确保id确实是一个整数，如下所示:

if (isset($_GET['id'])) {
  $id = $_GET['id'];
  settype($id, 'integer');
  $result = mysql_query("SELECT * FROM mytable WHERE id = '$id'");
  # now use the result
}

但当然，这只排除了一个特定的攻击，所以阅读所有其他的答案。(是的，我知道上面的代码不是很好，但它显示了具体的防御。)

只是想添加关于输出转义的主题，如果您使用php DOMDocument使您的html输出，它将在正确的上下文中自动转义。属性(value="")和<span>的内部文本不相等。 为了防止XSS，请阅读以下内容: OWASP跨站防御备忘单

不。你不能在没有任何上下文的情况下过滤数据。有时你想把SQL查询作为输入，有时你想把HTML作为输入。

您需要筛选白名单上的输入——确保数据符合您所期望的某些规范。然后，您需要在使用它之前对它进行转义，这取决于您使用它的上下文。

为SQL转义数据(防止SQL注入)的过程与为(X)HTML转义数据(防止XSS)的过程非常不同。

不，没有。

首先，SQL注入是一个输入过滤问题，而XSS是一个输出转义问题——因此您甚至不会在代码生命周期中同时执行这两个操作。

基本经验法则

对于SQL查询，绑定参数 使用strip_tags()过滤掉不需要的HTML 使用htmlspecialchars()转义所有其他输出，并注意这里的第2和第3个参数。

没有万能函数，因为有多个关注点需要解决。

SQL注入——如今，一般来说，每个PHP项目都应该通过PHP数据对象(PDO)使用准备好的语句作为最佳实践，以防止错误引用以及针对注入的全功能解决方案。这也是最灵活和安全的方式来访问您的数据库。

检查(唯一正确的)PDO教程几乎所有你需要知道的关于PDO。(衷心感谢顶级SO贡献者@YourCommonSense，为这个主题提供了很棒的资源。)

XSS -消毒数据的方式…

HTML Purifier has been around a long time and is still actively updated. You can use it to sanitize malicious input, while still allowing a generous & configurable whitelist of tags. Works great with many WYSIWYG editors, but it might be heavy for some use cases. In other instances, where we don't want to accept HTML/Javascript at all, I've found this simple function useful (and has passed multiple audits against XSS): /* Prevent XSS input */ function sanitizeXSS () { $_GET = filter_input_array(INPUT_GET, FILTER_SANITIZE_STRING); $_POST = filter_input_array(INPUT_POST, FILTER_SANITIZE_STRING); $_REQUEST = (array)$_POST + (array)$_GET + (array)$_REQUEST; }

XSS -在输出时消毒数据…除非你保证数据在添加到你的数据库之前被正确地消毒，否则你需要在显示给你的用户之前消毒它，我们可以利用这些有用的PHP函数:

当您调用echo或print来显示用户提供的值时，请使用htmlspecialchars，除非数据已经过适当的安全处理并允许显示HTML。 json_encode是一种从PHP向Javascript提供用户提供值的安全方法

您是否使用exec()或system()函数调用外部shell命令，或使用反勾运算符?如果是这样，除了SQL注入和XSS之外，您可能还需要解决一个额外的问题，即用户在您的服务器上运行恶意命令。如果您想转义整个命令或escapeshellarg来转义单个参数，则需要使用escapeshellcmd。