那些遇到过的问题

什么是URL的"足够的清理"

asl*_*lum 8 php mysql sanitization

该URL将是

  1. 保存到MySQL数据库
  2. 用于在用户的个人资料上显示图片

strip_tags()和mysql_real_escape_string()就够了吗?

zom*_*bat 16

"足够的消毒"完全取决于你所谈论的环境.MySQL的清理应该被认为 Web输出的清理完全分开,你应该单独处理它们以避免很多麻烦.

消毒MySQL

  • mysql_real_escape_string() 将清理一段数据并使其安全放入SQL查询.
  • 应该绝对忽略任何其他类型的恶意数据,例如字符串中的HTML标记.试图在这里操纵它会让你头疼,因为你试图在将它从数据库中取出之后"取消操作"它.糟糕的"网络数据"不会损害您的数据库.

消毒产量

  • htmlspecialchars($val)在输出时将防止任何恶意代码无法呈现,因为<>字符转换为它们的实体表示而不是呈现为标签分隔符.
  • ENT_QUOTES如果要输出HTML元素的quoted属性中的内容,请使用修饰符,例如<input name="email" value="<?php echo htmlspecialchars($email,ENT_QUOTES); ?>" />

除非您有特殊要求,否则这应该是您所需要的. strip_tags()不应该真正用于清理,因为它可能被错误形成的HTML所欺骗.清理是一个有价值的目标,如果你可以将你的上下文分开,你将会遇到更少的数据操作问题.

  • +1 仅在需要时进行消毒。当然,清理 SQL 是“邪恶的”,只需使用参数化查询...... (2认同)

归档时间:

查看次数:

10147 次

最近记录:

15 年,9 月 前
处理安全性的最佳方法,并避免使用用户输入的URL进行XSS 54
筛选输入网址的最佳方法是什么? 3
更多相关链接
相关归档
可利用的PHP功能 277
如何使用MySQL DECIMAL? 166
如何使用node.js在mySQL中进行批量插入 106
CloudFlare并通过PHP记录访客IP地址 76
使用PHP获取字母表中下一个字母的最有效方法 67
尝试使用mysql2 gem安装应用程序时出错 64
转换为日期格式dd/mm/yyyy 29
测试Web应用程序中的安全漏洞:最佳实践? 25
MySQL - InnoDB与MyISAM 23
如何将laravel 5.1用户模型移动到\ App\Models\User? 20
难疑归档
如何判断Bash中是否存在常规文件? 3069
什么是serialVersionUID,我为什么要使用它? 2880
如何制作一个很好的R可重复的例子 2474
在字典中添加新密钥? 2427
使用pip升级所有包 1859
.gitignore和.gitkeep有什么区别? 1776
JavaScript检查变量是否存在(定义/初始化) 1642
PHP中的startsWith()和endsWith()函数 1409
Git diff对付藏匿处 1265
Vim最有效的捷径是什么? 1127