我有一个输入字段,允许用户输入保存到数据库中的数据。在少数用法中,用户可以放入HTML。
将值保存到db中时,是否最好对其进行转义/编码(可能包括html)?或保存为它并在输出期间对其进行编码?
编辑:只想看看是否大多数人都同意对要存储在数据库中的文本进行编码是一个不好的主意,因此article
最佳答案
在将用户输入放入数据库之前,最好先对其进行转义/编码,否则可能会使系统遭受SQL注入(也就是说,如果您正在使用任何SQL DB)。
我有一个输入字段,允许用户输入保存到数据库中的数据。在少数用法中,用户可以放入HTML。
将值保存到db中时,是否最好对其进行转义/编码(可能包括html)?或保存为它并在输出期间对其进行编码?
编辑:只想看看是否大多数人都同意对要存储在数据库中的文本进行编码是一个不好的主意,因此article
最佳答案
在将用户输入放入数据库之前,最好先对其进行转义/编码,否则可能会使系统遭受SQL注入(也就是说,如果您正在使用任何SQL DB)。