如何使用PHP清理用户输入?
是否有某个功能全面的功能可以很好地用于清理用户针对SQL注入和XSS攻击的输入,同时仍然允许某些类型的HTML标签?
问题答案:
常见的误解是可以过滤用户输入。PHP甚至有一个(现在已弃用的)“功能”,称为magic-quotes,它基于此思想。废话
忘记过滤(或清洁,或任何人称呼它)。
为避免出现问题,您应该做的事情很简单:每当将字符串嵌入外部代码中时,都必须根据该语言的规则对其进行转义。例如,如果您在针对MySQL的某些SQL中嵌入了字符串,则必须为此使用MySQL的函数对字符串进行转义(mysqli_real_escape_string)。(或者,对于数据库,在可能的情况下,使用预备语句是更好的方法。)
另一个示例是HTML:如果将字符串嵌入HTML标记中,则必须使用对其进行转义htmlspecialchars。这意味着每个单行echo或print语句应使用htmlspecialchars。
第三个示例是shell命令:如果要将字符串(例如参数)嵌入到外部命令中,并使用调用它们exec,则必须使用escapeshellcmd和escapeshellarg。
等等等等 …
您需要主动过滤数据的 唯一
情况是接受预先格式化的输入。例如,如果您让用户发布HTML标记,那么您计划显示在网站上。但是,您应该明智地不惜一切代价避免这种情况,因为无论您对其进行多么好的过滤,它始终都是潜在的安全漏洞。
-
问题内容: 使用PDO]库时是否需要在输入中使用(例如和)? 如何使用PDO正确避开用户输入? 问题答案: 如果使用PDO,则可以对查询进行参数化,从而无需转义任何包含的变量。 使用PDO,您可以使用准备好的语句将SQL和传递的参数分开,这消除了对转义字符串的需要,因为由于将两者分开保存,然后在执行时组合在一起,因此从上述来源自动将参数作为字符串处理: 注意:在变量绑定()期间进行清理
-
我一直在研究清理用户输入的最有效方法。我的应用程序是一个简单的post请求,用于对用户进行身份验证。在网上我可以找到十几种不同的“最佳”方法。这些方法中有很多都使用不推荐的php函数,或者看起来过于复杂。为了连接到我的sql数据库,我使用PDO类。 在搜索自己的函数时,我无意中发现: 带有绑定参数的预准备语句不仅更可移植、更方便、不受SQL注入的影响,而且通常比内插查询执行得快得多,因为服务器端和
-
问题内容: 我正在使用sqlsrv驱动程序的PHP MSSQL项目上。阻止SQL注入攻击的最佳方法是什么?我需要类似mysql_real_escape_string()的东西,但要使用sqlsrv驱动程序。 问题答案: 最好的方法是不要编写SQL,以便您需要使用的类似物,可以通过使用占位符作为值,然后在执行语句或打开时传递变量(否则将由来处理)来实现。光标或其他任何东西。 如果失败,请查看;的输出
-
问题内容: 如何通过PHP清理$ _GET -variables中的数据? 我只对GET by中的一个变量进行了消毒。我不确定是否应该清理所有内容,因为上次将数据放入Postgres时,使用可以最轻松地解决问题。 问题答案: 如何通过PHP清理$ _GET -variables中的数据? 您 不 清除$ _GET中的数据。这是PHP脚本中的一种常见方法,但是完全错误*。 所有变量都应保持纯文本格式
-
每次我在终端中键入php,我都会得到以下输出: PHP启动:无法加载动态库“/usr/lib/PHP/extensions/no-debug-non-zts-20121212/PHP\u gd2。dll'-dlopen(/usr/lib/php/extensions/no-debug-non-zts-20121212/php\u gd2.dll,9):在第0行的未知中未找到图像 我该怎么清洗这个。
-
问题内容: 在大多数情况下是否足以清洁用户输入? ::编辑:: 我主要是在考虑防止SQL注入,但是我最终想知道在应用mysql_real_escape_string之后我是否可以信任用户数据,或者在将数据传递给应用程序和数据库之前是否应该采取额外的措施来清理数据。 我看到清理HTML字符的位置很重要,但是我认为信任用户输入是不必要的。 Ť 问题答案: 在所有情况下都不够,但是绝对是一个很好的朋友。