问题标签 [input-sanitization]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - PHP 使用 PDO 语句清理输入
可能重复:
如何防止 PHP 中的 SQL 注入?
我使用 PDO 准备好的语句来防止 MySQL 注入,但我应该做更多的事情来清理用户输入吗?用户只会看到他自己的输入和他“朋友”的其他人的输入。我还需要做些什么来清理输入吗?
我认为没有启用魔术引号,而且我想不出任何其他方式可以让用户弄乱我的网站,但我是新手,所以我不确定。
提前致谢!
php - 如何检查上传的文件(或通过文本框的文本)是否包含 PHP 代码?
我无法在 stackoverflow 上找到正确的答案。但也许只是我很傻。
我有一个用户表单,用户可以在其中上传文本文件。我们正在做一些明智的事情,比如在 htdocs 之外保存和重命名文件 - 但我如何检查上传的文件是否包含一些可能有害的 PHP 片段?还有一个文本框保存为文本文件,我们想检查用户是否也在其中提交了 php 代码。
像检查“ <?php”一样愚蠢吗?是否可以以某种形式的字节形式重写这将使该检查无用。
请注意,该文件可能包含有效的“<”和“>”字符作为输入的一部分——我不想转义这些字符,因为这样我的数据处理应用程序将无法在这个经过清理的表单上运行。
php - 如何在不使用 PDO 的情况下改进我的 PHP 清理
在用于 SQL 查询之前,我编写了一个用于清理字符串/变量的简短函数:
调用使用:
将定义字符串的长度,使用 real_escape_string 和 strip_tags 清理它,然后使用 substr() 确保返回的数据仍然符合长度标准。
有什么方法可以在不使用 PDO 的情况下改进这种清理功能?
mysql - ZF2 清理数据库查询的变量
在 Zend Framework 2 中进行数据库查询时,我应该如何清理用户提交的值?例如下面 SQL 中的 $id
string - 在 Matlab 中清理字符串以进行比较
这是考虑的后续问题evalc,而不是手动处理文件描述符。您可以在下面看到一个关于消毒不良的示例。我想删除诸如尾随字符、所有空格、所有换行符等 - 通常会导致意想不到的事情 -是否有现成的清理命令来执行此操作?
zend-framework - 扩展 Zend 请求对象 getParams() 方法以清理用户输入
我试图通过过滤用户输入(将标签等用户数据列入黑名单)来确保我们在我们的网络应用程序中清理用户输入。基本上,Zend 建议开发人员在任何认为需要的地方专门执行此操作,因此如果页面 A 有表单,则应在检索表单数据后在其 pageAaction() 中完成过滤。我的应用程序中的所有表单数据都是这样检索的:
好吧,在我的网络应用程序中,用户输入的所有内容都需要针对列入黑名单的字段进行清理。我显然希望将我的代码集中在一个地方,而不是与每个表单的黑名单进行比较。我的理解是,这应该/必须在 _request 对象的 getParams() 或 getParam() 方法中完成,因为我们总是从中检索表单数据。
如果是,我该怎么做?我不想触及核心 Zend 类并添加我自己的修改。
如果不是,那么集中我们的代码的最佳策略是什么?
免责声明:我们没有使用 Zend 表单,而是自定义编写我们自己的表单
php - 正确的表格输入卫生
我有从我的表单中收集的表单字段
然后我将它作为 dataType "html" 发送到我的控制器
我的 dataString 的 var_dump 看起来像这样(到目前为止,它将包含电子邮件地址、选择选项等)
我的问题如下:在将数据发送到我的模型之前,我应该使用什么正确的表格卫生方法?我知道我需要去除特殊字符等,我应该使用一些预打包的类吗?
我需要像这样分解我的数据吗
php - 如何过滤 XSS 但仍允许基本格式标记
我正在开发一个允许人们使用编辑器输入 html 格式内容的网站。
但是,我担心 XSS 注入。编辑器显然使用 Javascripts 在客户端过滤信息,但我几乎不能相信这一点,因为不信任来自客户端的任何内容是一种很好的做法。
我希望能够将某些标签列入白名单,例如:
但仍然对 XSS 攻击的输入执行安全过滤。
我考虑使用http://php.net/manual/en/function.strip-tags.php但我注意到 img 标签是 XSS 黑客的最爱之一。
是否有可能制作一个可以做到这一点的功能?会安全吗?
python - Sanitizing user input path names
Using Python 2.6 on Windows I have a function that needs to accept a path name as an arg. I'm running into issues when certain specific paths are passed.
What I'm gathering is that the \n in the "nothing" path is being interpreted as a new line, and the \t in the "test" path is being interpreted as a tab.
If I print out the path names, that's what appears to be happening.
Same for the 'test' path, except a tab instead of a new line.
The only thing I've come up with so far is to do a check to see if \n or \t are in the path name, and then handle it accordingly, but there must assuredly be a better way.
What would a better way be?
php - PHP 代码如何清除 $_POST 中的用户输入
我有这个 PHP 代码:
无论发送什么,代码总是打印“失败”。
我想要它,这样如果它传入空白或无效输入,它就会失败。
我应该如何正确清理输入?