问题标签 [sanitization]

首先，我对这个问题没有任何恶意。我想知道要在我的文本区域和文本框中复制粘贴和测试哪些文本，以查看它们是否被正确剥离。

目前我使用的东西有限：

有人可以提供或建议一个全面的测试列表来检查我的网站是否是 XSS-proof。

感谢您的时间。

这是参考这个（优秀的）答案。他指出，在 PHP 中转义输入的最佳解决方案是调用mb_convert_encoding，然后调用html_entities。

但是为什么你会用相同的参数（UTF8）调用 mb_convert_encoding 呢？

摘自原始答案：

即使您在 HTML 标记之外使用 htmlspecialchars($string)，您仍然容易受到多字节字符集攻击向量的攻击。

最有效的方法是使用 mb_convert_encoding 和 htmlentities 的组合，如下所示。

这有什么我缺少的好处吗？

我正在编写一个博客，我希望 URI 成为像 stackoverflow 中的问题标题或 wordpress 一样的标题。
清理 URI 的规则是什么？
PHP中是否有已经制作的代码可以做到这一点？

提前致谢，
奥马尔

是否有一个 .Net 库，每个人都使用它来验证/清理来自网站的用户输入。似乎有很多帖子解释人们使用哪些正则表达式以及何时使用。虽然我确实喜欢频繁地重新发明轮子，但我在用户输入时画线。

大多数情况下，我并不担心 SQL 注入，而是担心我无法想象的 html 输入和输入。它只会让我的脸上露出微笑，让它像这样工作：

有人有这样的吗？（提前致谢）

我知道需要清理来自 HTML 表单的输入，但是当我清理我最近模块中的文件上传字段时，文件上传开始失败。清理所有表单输入很重要，对吧？甚至是特殊的文件上传字段？

我的表单输出代码如下所示：

我的清理代码看起来像这样（它实际上在与上面相同的模块中更早）：

当我最近添加清理代码时，文件上传开始失败。文件句柄现在在这一行返回未定义：

那么我在清理代码中做错了吗？我从互联网的某个地方得到了那个代码片段，所以我并不完全理解它。我以前从未见过 'o' 正则表达式修饰符，也从未使用过 HTML::Entities 模块。

我有一个代码博客，其中有一个用于提交的用户输入表单。该表格中的任何内容都将出现在其中一页上。现在这是一个编码博客，所以我不想从输入中删除任何 HTML 标记或 javascript 代码，但我不希望它在任何时候执行。使任何输入无害的最佳方法是什么？替换<就足够了<吗>？>

（对于信息，服务器将是 GAE，输入将在 python 变量中传递（但从未评估），并存储在 TextProperty 中）

我将文本作为 HTML 存储在 SQL 中。我不能保证这些数据格式正确，因为用户可以从任何地方复制/粘贴到我正在使用的编辑器控件中，或者手动编辑生成的 HTML。

<script/>问题是：删除或以某种方式忽略和标记的最佳方法是什么，<form/>以便当用户的文本显示在 Web 应用程序的其他位置时，它不会破坏包含页面的正常操作。

我玩弄了简单地为<script>/ <form>with执行“查找和替换”的想法<div>（显然考虑到空格和结束标签，如果它们存在的话）。我也愿意以某种方式“忽略”某些标签。<div id="MyContent">据我所知，对于、treat<form>和<script>as中的所有元素，可能有一些内置的说法（在 HTML、CSS 或 JavaScript 中）<div>。

任何帮助或建议将不胜感激！

我只是在考虑清理数据以防止注入攻击的最佳方法。有些人喜欢在输出之前立即清理，或者在插入数据库之前立即清理......但我看到的问题是双重的：（1）如果你错过了一个参数/变量怎么办？(2) 如果您过度消毒怎么办？并不是说它会损害输出，但是对您已经知道是安全的东西进行消毒没有多大意义。

例如，在 PHP 中，而不是使用$_GET，$_POST我不能用类似的东西来包装它们：

或者这还不够吗？恶意代码还能潜入何处？

阅读下面的答案后，我意识到这个问题有点愚蠢。这取决于您是插入数据库还是输出 HTML。在这种情况下，也许最好在使用前进行。没关系，包装输出方法也很容易......

我在 php 中有一个网站，它确实 include() 将内容嵌入到模板中。要加载的页面在 get 参数中给出，我将“.php”添加到参数的末尾并包含该页面。我需要做一些安全检查以避免 XSS 或其他东西（不是 mysql 注入，因为我们没有数据库）。我想出的是以下内容。

我还能做些什么来进一步清理我的输入吗？

任何人都可以提供一个功能来清理 UniData 查询的输入吗？或者提供要删除的内容列表？