<script>が文字列内にある場合、テーブルのデータは表示されません。実行

Question

は、だから私は、フォームを使用して、私のテーブルにデータを入力すると、SQLインジェクションを回避するために

$username = mysqli_real_escape_string($con, $_POST['username']); 

mysqli_real_escape_stringを使用停止します。このメソッドを使用すると、入力としてスクリプトを使用しようとした人の場合に、このようにデータが保存されます。<script> some bad script </script> もちろん、注入は行われませんが、テーブルからデータを取得しようとしている間に、そのように保存されたユーザー名に達すると、実行は停止します。私はテーブルを編集して<script> </script>の部分を削除してページをリフレッシュしてみましたが、期待どおり実行が停止せず正しく終了しました。テーブルからデータを取得するために次のコードを使用しました。

require_once ('dbconnect.php'); 

$title= "The App"; 


$qry = "SELECT * FROM businesses "; 
$result = mysqli_query($con,$qry); 
$info = array(); 

while($row_info = mysqli_fetch_assoc($result)) 
    { $info= $row_info; 
echo " The ID:" . $row_info['buss_id'] . "<br>" . "The username:" . $row_info['username'] . "<br>"; 
    } 

注：dbconnect.phpには$ con変数があります。ありがとうございました。 私もそれは私がチュートリアルを以下して、彼らはそのようにやった

$info=$row_info; 

、しかしはっきりと私は変数row_info $を使用して同じ結果を持つことができると言うのコードでは一部についてお尋ねしたいと思います。どんな説明も認められるでしょう。ありがとう。

Answer 1

誤解されていない場合は、フォーム入力からjavascriptを削除することです（悪意のあるjavascriptをフォーラム/メッセージボードに保存して、他のすべての訪問者に表示するなど）。

mysqli_real_escape_stringとprepared statementsは、SQL injectionsに対してのみ動作します（つまり、実行されないSQL文を実行するようにプログラムを騙そうとします）。あなたのフォーム入力でそれらを使用する必要があります。しかし、それらはあなたの質問とは異なる抽象レベルでのセキュリティです。

データベースに保存する前に、または誰にでも表示する前に、テキスト入力にHTML sanitationを入力する必要があります。あなたはすべきです

1. strip_tagsを文字列に使用してください。または
2. filter_varを適切に使用すると、Sanitize Filterとなります。または
3. ユーザー入力にHTMLを使用したくない場合は、htmlspecialcharを使用して、HTML保存のプレーンテキストに変換できます。
データベース

$text = addslashes(htmlspecialchars($text)); 

出力に挿入する前

Answer 2

$text = stripslashes(trim(implode('',explode('\\',$text)))); 

echo $text; 

これべき `SQLのinjections`回避するmysqli_real_escape_stringを