3
所以我有一个表单接受来自用户的一些输入,可能以后在页面上表示。清理公众意见的最佳方式是什么?
从安全的角度来看,我想这样做的方式是接受输入,将mysql_real_escape_string()函数应用于所有输入,然后使用预准备语句插入。
检索数据时,我会先在屏幕上显示htmlspecialchars()。
这会好吗?我是否忽略了重要的事情?
A
回答
4
两件事情:
- 您必须将其发送到数据库之前,逃避所有的输入;为:
mysql_real_escape_string是正确的工具,如果你不使用准备好的语句- 如果你正在使用预处理语句,你并不需要自己逃脱,它会自动完成。
- 但是你不能这样做:正如@longneck在他的评论中澄清的那样,如果你正在逃避自己,并且使用准备好的语句,它们也会转义,你的字符串会被转义两次 - 而你不想这样做。
- 然后,你必须逃避所有输出;如果你的输出格式是HTML,htmlspecialchars或htmlentities都可以。
所以,你对我的输出HTML似乎没问题;但是您对输出到数据库的操作要做得多。作为一个旁注:如果你想允许你的用户使用HTML,你可以使用像HTMLPurifier这样的工具 - 它允许你指定允许或不允许哪些标签/属性。
1
您指出的方法是正确的,因此必须使用。是的,你错过了XSS Filtering。检查这个网站的XSS攻击的例子:
所以,你最好找一个防御系统这种类型的黑客,像一个正则表达式的字符串。下面是一些教程:
http://www.chipmunkninja.com/[email protected] http://shiflett.org/blog/2007/mar/allowing-html-and-preventing-xss
相关问题
- 1. ASP.net:处理清理页面的最佳方法是什么?
- 2. 处理用户生成的html内容将被公众查看的最佳方式是什么?
- 3. 用PHP清理内容的最佳方法是什么?
- 4. 清除Plone的CSS缓存的最佳方式是什么?
- 5. 计算公式结果的最佳方法是什么?
- 6. 什么是公开回调API的最佳方式 - C++
- 7. 什么是清空自我指涉MySQL表的最佳方式?
- 8. 在C++中清除容器的最佳方式是什么?
- 9. 什么是清空IFrame内容的最佳方式
- 10. 处理变更管理的最佳方式是什么?
- 11. 键入()的最佳方式是什么?
- 12. 什么是开源的最佳方式?
- 13. “投票”的最佳方式是什么?
- 14. 什么是最好的方式来清理URL中的标题
- 15. 处理失败的nonce验证的最佳方式是什么?
- 16. 检查视窗是否可见的最佳方法是什么?
- 17. 更新匹配公式以有条件格式的最佳方式是什么?
- 18. 最佳实践 - 什么是观看目录的最佳方式
- 19. 最佳匹配额定配对的最佳方式是什么?
- 20. 什么是处理从C#连接到MySql的最佳方式是什么?
- 21. 什么是处理页面切换的最佳方式?
- 22. 处理此XML Feed的最佳方式是什么?
- 23. 处理iPad/iPhone视图的最佳方式是什么?
- 24. 在R中管理元数据的最佳方式是什么?
- 25. 管理游戏中子弹的最佳方式是什么?
- 26. 管理文件/项目关系的最佳方式是什么?
- 27. 写入批处理脚本的最佳方式是什么?
- 28. 处理彼此使用模块的最佳方式是什么?
- 29. 处理大型数据表的最佳方式是什么?
- 30. 管理会话变量的最佳方式是什么?
只是为了澄清:你应该要么mysql_real_escape_string(),或使用准备好的语句。如果您同时执行这两个操作,则字符串将被双重转义,并且在发送给客户端之前必须进行预处理。 – longneck 2009-09-10 16:31:45
@longneck:我已经编辑过坚持你说的话;谢谢 :-) – 2009-09-10 16:35:35