1

我有这个从用户那里收集数据的脚本,我想通过使用HTML Purifier检查他们的数据中是否存在恶意代码(例如 XSS 和 SQL 注入),但是如何将其添加到我的 PHP 表单提交脚本中?

这是我的 HTML 净化器代码:

 require_once '../../htmlpurifier/library/HTMLPurifier.auto.php';

 $config = HTMLPurifier_Config::createDefault();
 $config->set('Core.Encoding', 'UTF-8'); // replace with your encoding
 $config->set('HTML.Doctype', 'XHTML 1.0 Strict'); // replace with your doctype
 $purifier = new HTMLPurifier($config); 

 $clean_html = $purifier->purify($dirty_html);

这是我的 PHP 表单提交代码:

if (isset($_POST['submitted'])) { // Handle the form.

    $mysqli = mysqli_connect("localhost", "root", "", "sitename");
    $dbc = mysqli_query($mysqli,"SELECT users.*, profile.*
                                 FROM users 
                                 INNER JOIN contact_info ON contact_info.user_id = users.user_id 
                                 WHERE users.user_id=3");

    $about_me = mysqli_real_escape_string($mysqli, $_POST['about_me']);
    $interests = mysqli_real_escape_string($mysqli, $_POST['interests']);



if (mysqli_num_rows($dbc) == 0) {
        $mysqli = mysqli_connect("localhost", "root", "", "sitename");
        $dbc = mysqli_query($mysqli,"INSERT INTO profile (user_id, about_me, interests) 
                                     VALUES ('$user_id', '$about_me', '$interests')");
}



if ($dbc == TRUE) {
        $dbc = mysqli_query($mysqli,"UPDATE profile 
                                     SET about_me = '$about_me', interests = '$interests' 
                                     WHERE user_id = '$user_id'");

        echo '<p class="changes-saved">Your changes have been saved!</p>';
}


if (!$dbc) {
        // There was an error...do something about it here...
        print mysqli_error($mysqli);
        return;
}

}
4

2 回答 2

1 
if ($dbc == TRUE) {
        //add the stuff you want to clean here.
        $about_me = $purifier->purify($about_me);
        $interests = $purifier->purify($interests);

        $dbc = mysqli_query($mysqli,"UPDATE profile 
                                     SET about_me = '".mysql_real_escape_string ($about_me)."', interests = '".mysql_real_escape_string ($interests)."' 
                                     WHERE user_id = '$user_id'");

        echo '<p class="changes-saved">Your changes have been saved!</p>';
}

您还应该考虑在使用mysql_real_escape_string()将数据输入数据库之前转义数据

你也可以结合mysql_real_escape_string($purifier->purifiy($interests)),但我没有合并让它更具可读性。

于 2010-03-30T13:48:59.807 回答
1

我想使用 HTML Purifier 检查他们的数据中是否存在 XSS 和 SQL 注入等恶意代码

这不是 HTML Purifier 的用途。

HTML Purifier 适用于当您需要允许用户提交实际的 [X]HTML 以包含在页面中,但您不希望他们完全访问 HTML 的所有潜在危险功能时。

在将文本字符串输出到 HTML 页面时,它不能替代正确使用。htmlspecialchars在绝大多数情况下,您希望使用输入作为文本字符串而不是 HTML 标记,您希望将这些<&符号转义为&lt;and &amp;,而不是将它们视为标记并破坏它们以试图使该标记“干净”。

它对 SQL 注入也没有任何作用。您必须继续使用mysqli_real_escape_string,或转到参数化查询。

于 2010-03-30T14:29:22.687 回答