Ama*_*nut 3 php security input request symfony
我正在使用Silex,它正在使用RequestSymfony 的组件.当我从表单中获取数据时,例如这样:
$params = $request->request->all();
没有东西被清理干净.与Laravel不同,用户输入数据会自动清理.我应该手动完成,使用内置的PHP函数,strip_tag或者有一种symfony方法.
因此,基本上在清理输入时,它不应该是请求的一部分.这是因为,清理后的输入实际上只是数据库安全性的一部分.
因此,当Doctrine传递给Doctrine时,它会对输入进行清理.基本上,Doctrine会自动确保所有输入都已清理.从更广泛的意义上讲,数据库抽象层负责确保传递给它的数据有效.
Propel也是如此.
所以我所说的是输入清理不是Request对象的责任,因此它不提供这样做的功能.这符合单一责任原则,您可以在此处详细了解:http://en.wikipedia.org/wiki/Single_responsibility_principle
如果要验证通过请求接收的数据,可以使用Validator Component执行此操作,还有一个Silex ServiceProvider:https: //github.com/symfony/Validator
TLDR; 清理输入不是请求的响应性,它是您的DBAL(数据库滥用层)的责任.