?????????
????OWASP????????????????????XSS????????????ó????????????????????????????????????? XSS ?????????????????????????????????????????????????????????????? XSS??
???????????????????????????????????????????ó???????????У?????????????????????????ж???????????????????????????????????XSS????SQL ????????????????????????????·?????????????????????????????????????
????????????????????????????????????????????Χ???????????????????????????????????????????繥???????е???ó??????????????????????????С????????????????α?????????????????????????????????????????????????????????????????????????????
????OWASP ???????????????£?
????????SQL??OS??LDAP??????????????????????????????????????????????????????????????????????????????????????????з?????????????????????????
????SQL ?????
??????????????????????????????? SQL ???????SQL ?????????????????????????????????????????????????????????????????????????????????????????
????SQL ???????????????????????ó?????????? SQL ??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????÷??а???????????????????????÷??ж???????????????????????????????????????????????????????????????
????????????????SQL ??????????????????? SQL ??????????з????????????????????
?????????????????
????git·$db = new mysqli('localhost'?? 'username'?? 'password'?? 'storedb'); $result = $db->query(     'SELECT * FROM transactions WHERE user_id = ' . $_POST['user_id'] ); ·git
??????????????д???????????????????????? POST ????????????????Ч?? user_id????Σ???????????????????????????????????? user_id——??????????????????????Ч user_id????? user_id ??????????????????Σ??????????????????????????????????????????????????κ?????????????????????? escape ?? user_id???????????????????????????????????????????? SQL ???????ù??????л??????????????????????????
????????????????????????ó????м???????
????????????????????????????????????????? user_name ??????????????????????Χ????????????????????á????????????????????????????????????? SQL ??????????????????????????????????????????????? escape ?????????????????????????????????????????????????????????????
???????????????? SQL ???????????洢????????????????????С?HTML5 ?????????????????????? Javascript ??? SQL ????????????????????????????WebSQL ?? IndexedDB??WebSQL ??2010?? W3C ?????????????? SQLite ?? WebKit ???????????????????????????????? WebKit ?????????????????п????????????????????????????????????? SQL ??????????????? SQL ???????IndexedDB ??????μ???????????????? NOSQL ????????????? SQL ???????
????SQL ?????????
??????????? SQL ???????????????????
????1?????й?
????2??????洢????
????3??????洢????
????4???????????
????5??????? SQL ?????
???????? SQL ?????
???????? SQL ?????????????????????????????? SQL ??????????y??????????????????????????????????????????????????????????????????y??? escape??
???????
????????????????????????????????????????????????ü??費??????????? PHP ???????????????????????????????????????????????????δ????????????????????“???”?????????????????????????
???????????????????????????????????????磬??????????????????????洢λ???????????ε????????
????Escaping
??????????mysqli ?????????????? mysqli_real_escape_string() ?????? escape?????? SQL ????е??????????PostgresSQL ?? pgsql ????? pg_escape_bytea()?? pg_escape_identifier()?? pg_escape_literal() ?? pg_escape_string() ??????Mssql????? SQL ???????????? escaping ?????????????????? addslashes() ????????????——????????????????????http://stackoverflow.com/questions/574805/how-to-escape-strings-in-mssql-using-php??
???????????????????£??????? escape ???? SQL ????????????????????????????? SQL ???????
????????????????????????? escaping????????????????????????????????????????????????????? SQL ?????????????????????????????????? escape????????????????????????????????????????????