我只是在考虑清理数据以防止注入攻击的最佳方法.有些人喜欢在输出之前立即消毒,或者在插入数据库之前立即进行消毒......但我看到的问题有两个:(1)如果你错过了一个参数/变量怎么办?(2)如果你过度消毒怎么办?并不是说它会伤害输出,但是你已经知道的清洁消息并不是很安全.
例如,在PHP而不是使用$_GET,$_POST我不能用以下内容包装:
function get($var) {
return my_sanitizer($_GET[$var]);
}
或者那还不够?还有哪些恶意代码可以潜入?
在阅读下面的答案后,我意识到这个问题有点愚蠢.这取决于您是插入数据库还是输出HTML.在这种情况下,也许是更好的只是在使用前做的.没关系,这也很容易包装输出方法......