什么是“足够消毒”的URL

Question

的URL将被

1. 保存到MySQL数据库
2. 用于显示用户的个人资料图片

将用strip_tags（）和mysql_real_escape_string（）就够了吗？

Answer 1

“足够的消毒”完全取决于你在说什么环境。 MySQL的消毒应该被认为是完全独立的免于网络输出的消毒，您应该单独处理它们以避免很多麻烦。

消毒的MySQL

• mysql_real_escape_string()将消毒一块数据并使其安全地把一个SQL查询中。
• 任何其他类型的恶意数据（如字符串内的HTML标签）都应该被完全忽略。试图在这里操纵它会导致你头痛，因为你试图在将它从数据库中取出后“解除”它。错误的“网络数据”不能损害您的数据库。

消毒输出

• htmlspecialchars($val)在输出时将防止渲染任何恶意代码，因为<和>字符转换为它们的实体表示而不是呈现为标签分隔符。
• 如果你输出的东西是一个HTML元素的引用属性中，如<input name="email" value="<?php echo htmlspecialchars($email,ENT_QUOTES); ?>" />

这应该是你所需要的，除非你有特殊要求使用ENT_QUOTES修改。 strip_tags()不应该真的用于消毒，因为它可能被形成不良的HTML愚弄。消毒是一个有价值的目标，如果你可以保持你的上下文分离，你将遇到更少的数据操作问题。

Answer 2

在字符串上调用htmlentities（）而不是在strip_tags（）上计算可能更安全和更好。

用strip_tags（）将不会删除HTML特殊字符像'"&

例如，如果你的代码是：

<img src="<?= strip_tags($myVar) ?>"> 

和

$myVar = '">something goes here<'; 

那么你结束了：

<img src="">something goes here<"> 

这显然是XSS洞的根;一个实际的漏洞被留下来作为读者的练习。

Answer 3

我最初upvoted弗兰克的答案，但想到一个问题：ヶ辆（）将打破合法的URL是这样的：

http://www.mywebsite.com/profile?id=jojo&w=60&h=60

也许剥尖括号+ mysql_real_escape就足够了？