方法I里面,不论是数组调用array_map_recursive,还是字符串使用htmlspecialchars方法
都没有使用htmlspecialchars的第二个参数;
使用ENT_QUOTES能避免被sql注入;
我已经亲自试验,完全可以通过sql注入对数据库delete或update
建议这么写:
$filter != 'htmlspecialchars' ? $filter($data) : $filter($data, ENT_QUOTES)
最佳答案
方法I里面,不论是数组调用array_map_recursive,还是字符串使用htmlspecialchars方法
都没有使用htmlspecialchars的第二个参数;
使用ENT_QUOTES能避免被sql注入;
我已经亲自试验,完全可以通过sql注入对数据库delete或update
建议这么写:
$filter != 'htmlspecialchars' ? $filter($data) : $filter($data, ENT_QUOTES)