Kann mir jemand helfen, die htmlspecialchars Zugabe zu verhindern XSS in diesem Code: siehtmlspecialchars in PHP
<?PHP
if(isset($_POST['update'])) {
$ts=$_POST['ts'];
$user=$_POST['user'];
mysql_query("UPDATE users SET block_newfriends='". mysql_real_escape_string($ts). "' WHERE username='" .mysql_real_escape_string($user) . "'");
echo '<div class="rounded-container">';
echo '<div class="rounded-green rounded-done">';
echo '<b>reload</b><br>';
echo '</div>';
echo '</div>';
}
?>
Ich weiß nicht, wo zu setzen, sollte es in der POST-Funktion sein, oder?
XSS Prävention Aktion passiert in der Regel am Info-Ausgang nicht eingegeben. Wenn Sie jedoch sicherstellen möchten, dass diese beiden Post-Werte bei der Eingabe in die Datenbank keine HTML-Zeichen enthalten, können Sie sie über htmlspecialchars übergeben. – MarkSkayff
yeah Ich will das Mark machen, aber weißt du, WIE ich sie in meinem Skript hinzufügen kann? Ich bin mir nicht sicher, wo ich sie platzieren soll. – IbraDigga
$ ts = htmlspecialchars ($ _ POST ['ts']); und das gleiche für den Benutzer var. – MarkSkayff