那些遇到过的问题

PHP $_GET 安全性、$_POST 安全性最佳实践

Mic*_*son 3 php security variables post get

这是一个很好的主题,但我想在几种不同的情况下对使用来自用户变量的数据的方法进行一些确认。

  1. 该变量从不在数据库中使用,从不存储,仅在用户屏幕上显示。使用哪个函数来确保没有 html 或 javascript 可以搞砸?

  2. 该变量被引入数据库,并在 SQL 查询中使用。

  3. 变量两者兼而有之。

目前我是xss_clean,和strip_tags。我一直这样做,只是通过自动驾驶仪。有没有更好的技术?如果有相同的问题,请见谅。我有点假设有,虽然我找不到像这样彻底的。

干杯。

kni*_*ttl 5

  1. 在输出时使用适当的函数,在 HTML 上下文中,这是 htmlspecialchars
  2. 使用准备好的语句
  3. 请参阅 1. 和 2. – 取决于您是在显示变量还是在查询中使用它。

  • 目前在 PHP 5.4 htmlspecialchars,htmlentities 中存在缓冲区溢出。http://www.fortiguard.com/encyclopedia/vulnerability/php.htmlspecialchars.htmlentities.buffer.overflow.html (3认同)

归档时间:

查看次数:

8633 次

最近记录:

5 年,8 月 前
最终的清洁/安全功能 57
更多相关链接
相关归档
使用Laravel Eloquent获取最后插入的ID 260
如何删除字符串中的所有前导零 153
在PHP中存储易于编辑的配置数据的最快方法? 23
如何删除树枝中文本的空格? 21
只允许我的Android应用程序在java中执行端点api 14
没有CSRF令牌的表格:有什么风险 9
如何通过链接传递POST变量到自己的页面? 5
防止将 Telegram bot 添加到任何组或频道(允许将其添加到白名单组/频道) 5
常量服务器变量? 2
使用PHP作为Javascript文件 - 安全性? 2
难疑归档
如何在Python中延迟时间? 2638
按字符串属性值对对象数组进行排序 2535
使用Git从先前的提交中分支 1658
按值复制数组 1638
<快于<=? 1508
如何从Git的暂存区域中删除单个文件,但不将其从索引中删除或撤消对文件本身的更改? 1177
我怎样才能用Python代表'Enum'? 1146
如何在Vim中移动到行尾? 1140
同步检查Node.js中是否存在文件/目录 1113
如何在Java中创建通用数组? 1045