防止 IOS 中的 XSS 和注入

Question

我阅读了这个在 IOS 中编码 HTML 标签的链接 HTML entity encoding (convert '<' to '&lt;') on iPhone in objective-c 这个解决方案对 XSS 有用吗 以及如何使用相同的方法防止来自 IOS 的 sqlinjection

如果我使用 API 发布数据并将此数据插入数据库，这会使数据库成为 sql 注入和 XSS 的目标

Answer 1

您不会在 iOS 上阻止 XSS。您可以阻止运行 Web 服务器的应用程序运行 XSS。例如 IIS 上的 ASP.NET 或 Apache 上的 PHP。

Answer 2

我认为您混淆了这个概念。在使用 SQL 访问数据库的地方，必须防止 SQL 注入。我想在你的情况下，这将在服务器中。无论如何，在任何使用 SQL 数据库的地方，都应该做以下两件事之一：

• 转义您从任何不受信任的来源收到的参数（例如，在 PHP PDO http://www.php.net/manual/es/pdo.quote.php 中）
• 最好使用准备好的语句，这些语句是带有参数占位符的 SQL 语句（即，您永远不会混合语句及其参数）例如，请参阅 http://en.wikipedia.org/wiki/Prepared_statement