以这种方式在登录或注册类中调用 __construct()
是否安全:
function __construct(PDO $DBH, $_POST['1'], $_POST['2'])
{
$this->_user=$_POST['1'];
$this->_pass=$_POST['2'];
$this->_DBH=$DBH;
}
我想稍后在这个类中清理用户输入,我不确定我的代码是否适合 SQL 注入(inject)或 XSS,因为类是用原始 POST 输入构造的?
最佳答案
如果您知道您清理/使用准备好的语句(即原始 POST 数据未按原样插入查询),那么这样做很好。
事实上,如果你使用准备好的语句,你根本不需要清理你的输入(对于 SQL,如果你要将数据显示为 HTML,它仍然需要这样清理)。
关于php - 安全类(class) build ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12162223/