0
我正在试验创建评论系统。我正在使用php-OEmbed类和HTML Purifier。我可以使用什么过滤器来确保评论可以安全地插入到我的数据库中?我知道你可以使用诸如FILTER_SANITIZE_STRING之类的PHP过滤器,但是不会将HTML变成实体吗?确保评论安全
另外,如果您使用类似WMD editor之类的东西,那么您是否还必须在客户端使用某些东西(如PHP Markdown)以确保它是安全的?
Q
确保评论安全
A
回答
2
基本上你需要清理用户输入,无论你何时发送它。
当你把它放到你的数据库中时,你需要通过引用SQL特殊字符来防止SQL注入(预处理语句会为你做这件事)。当你将它发送到浏览器时,你需要转义HTML特殊字符(PHP有这样做的功能)以防止脚本注入。
也可能有其他地方需要转义特殊字符。例如,如果您将注释发送到服务器上的Bash脚本以执行某种处理。在这种情况下,您需要引用或转义Bash特定的特殊字符。
重要的是不要在错误的阶段引用/转义:例如,除非您完全确定自己在做什么,否则在将其放入数据库时不要转义HTML实体。如果数据库连接失败时发送错误消息(这可能会导致XSS漏洞),将数据从数据库中拉出并准备将其发送到浏览器时,或者在发送错误消息时根本无法转义)。在最后时刻逃脱,你很可能会避免这些陷阱。
1
您不需要为SQL注入使用任何过滤器。最好的解决方案是使用prepared statements。例如,PDO提供PDOStatement。
相关问题
- 1. 安全代码评论
- 2. Facebook评论:全部评论
- 3. 一个安全的php评论系统
- 4. 是wordpress评论表单安全吗?
- 5. android确保安全
- 6. 确保Firebase数据安全
- 7. 安全的方法,以确定是否可以接受评论请求
- 8. 评估安全性?
- 9. fb:comments - 如何评论评论
- 10. 评论在ASP.NET MVC上开发的产品的安全性MVC
- 11. 确保Web服务的安全.Net
- 12. 如何确保iOS设备安全
- 13. 确保WSDLs和Schemas的安全
- 14. 确保蓝牙LE消息的安全
- 15. 确保Web服务的安全
- 16. Android如何确保安全性?
- 17. 确保OPKG存储库的安全
- 18. 确保工作区变量的安全
- 19. 确保蚊子连接安全 - MQTT
- 20. 确保内部WCF服务的安全
- 21. 确保MBean操作的安全
- 22. 确保微服务春云安全Oauth2
- 23. 确保与Java泛型类型安全
- 24. 如何确保Webservice的安全性?
- 25. 如何使用Django的评论框架评论评论
- 26. “评论”代表什么“功能addComment(评论$评论)”
- 27. 从评论框(Facebook评论插件)中删除评论
- 28. 评论
- 29. 评论
- 30. 评论
我忘了添加,我使用的是基于PDO的redbean。 – jonnnnnnnnnie 2010-12-05 02:32:01