は、注射を避けるために、この良いです私はリクエストパラメータにIPとURLを取得する必要があり、私はここでは、URL文字列から、特別に注入を避けるために必要

Question

を要求し、私のコードは次のとおりです。URLの

if(filterValidIp($ip) && filterValidUrl($url)) { 
    //it's ok 
    //code.... 
} 

は機能：

function filterValidUrl($s) { 
    $s = trim($s); 
    $valid = filter_var($s, FILTER_VALIDATE_URL); 
    if(!$valid === false) { 
     return true; 
    } 
    return false; 
} 

URL：有効なものとして

?url=http://google.com?id=ss'+&ip=127.0.0.1 

パス

Answer 1

あなたが提示したコードは、のURLを検証します。

あなたはDBMSに格納することを計画している場合もmysqli::real_escape_stringやPDO::quoteを使用して、それをエスケープする必要があり

また、あなたはあなたのウェブサイトに疑いを持たない訪問者にそれを提示します場合は特に、それをサニタイズすることができます

。あなたはfilter_var($s, FILTER_SANITIZE_URL)を使ってそれを行うことができます。

信頼されていない人々が悪質なテキスト文字列をWebサイトに入力する可能性があることに注意してください。