问题标签 [sanitization]

假设我有一个带有一些禁用复选框的表单，因为登录的用户不应该能够检查它们。我应该在哪里添加一些清理安全性以确保他们没有破解复选框并导致回发？

在页面中？数据库层？在数据库中？

我意识到这很可能是一个相当广泛的问题。

谢谢，马克

有人可以推荐一个最新的 PHP 数据清理库吗？

我正在寻找一个库，它提出了一组数据清理功能。电子邮件验证/清理（删除那些 %0A、\r...）、剥离 htlm（stripslashes(htmlentities)、删除脚本、SQL 注入……与用户提交的数据相关的任何形式的利用。

CakePHP清理类（不是“框架”）看起来不错.. ?

我有一个将 HTML 传递给服务器的富文本编辑器。然后将该 HTML 显示给其他用户。我想确保该 HTML 中没有 JavaScript。有没有办法做到这一点？

另外，如果有帮助，我正在使用 ASP.NET。

可能重复：
在 PHP 中停止 SQL 注入的最佳方法

我正在使用 PHP 创建一个网站，该网站使用 MySQL 数据库并处理来自 URL 的表单和变量。这些变量用于动态构造 SQL 查询字符串。所以我需要一个强大的解决方案来确保没有人在尝试 SQL 注入等。我的一个朋友说我真的应该只使用存储过程来访问数据库，但这并不可行，因为我使用的主机没有不允许这些。

这是我正在使用的代码（它是包装数据库命令的类的一部分）：

这个功能足够强大吗？我应该做其他事情吗？

您如何处理需要限制为特定值集的用户输入（unicode），并且您希望将数据传递给应用程序的风险降到最低。例如，如果我要将数据存储在 SQL 中，我希望消除任何 SQL 注入的可能性。如果我要通过 HTTP 通过网络发送它，我想确保它不会使请求不正确，等等。

我想我要问的是有什么通用的数据清理方法吗？

在 Rails 中处理富文本用户输入的首选方法是什么？Markdown 看起来很有用，但我还没有找到一个看起来很容易设置的编辑器，我也不知道如何处理 html 的清理。（sanitize助手似乎仍然允许像</div>，这会破坏我的布局）我想保证清理后的代码是有效的 XHTML Strict。

是否有任何经过彻底测试的 .NET 库来清理来自脚本/sql 注入之类的输入？

我有清理一堆旧的 ColdFusion 代码的不幸任务。查询无处不在，我正在努力将它们全部转移到常见的 CFC 以便于维护。

我遇到了一个问题，因为cfquery它会自动将单引号转换为双单引号。我怎样才能覆盖这种行为？

更具体的信息如下。

所以这是我开始的查询：

这里奇怪的是，一个文字被“选择”了，因为我们希望它显示的方式（同样，我没有写这个，我只是想把它清理一下）。所以在普通函数中，select子句有一个可选参数：

这是问题：当我传入"GroupName AS LastName, '[Group]' AS FirstName"strSelectAttributes 参数时，发送到数据库的查询是：

你看，我的报价被“清理”成无效的查询。

警惕 Jeff Atwood 的“代码浴室墙”帖子，我认为为 VBScript 提供一个值得信赖的 SQL 清理功能会很有用，类似于 PHP 的mysql_real_escape_string()功能。

那么，如何使用 VBScript 正确清理数据输入到 SQL 查询中？

我有这个代码：

我试过这段代码来清理它：

但我得到了 mysql_real_escape 行的这个错误：

我在这里得到用户名，我不知道它是否足够安全：

谢谢