问题标签 [sanitize]

我想要REGEX一个筛选/match QUERY_STRINGwhen 包含参数，如 theesephp|data|ftp|http|..|/|://和任何其他可用于远程文件包含的字符。

感谢大家的时间：

PS：我知道这最好用 htaccess 来完成，但我现在需要一个正则表达式。

RoR 3 自动清理 ERB 模板（如果操作正确）。但是，我有一个小项目，我仅将 RoR 用于应用程序层，将 javascript 用于演示。因此，典型的请求是对 rails 路由的 ajax 调用并呈现返回的 json。问题是我目前可以注入 js，创建一个带有标题的新产品，<script>alert('hello')</script>并在下一个请求时按原样返回，浏览器会愉快地解释脚本。

是不是最好

1. 清理帖子上的输入？
2. 清理服务器上的 json 响应？（覆盖 to_json？）
3. 清理客户端上的 json 响应？

我很感激任何意见。

我有一堆数据从控制器传递到视图。有没有一种快速的方法来获取从控制器传递的所有数据，例如在 AppController beforeRender 中并对该数据执行 sanitize->html ？

我是一个相对的 Rails 新手，对 sanitize gem 有疑问。它易于安装和使用，但由于某种原因，当我选择拥有自己的元素数组时，它不起作用。它仍在清理我试图批准的元素。这是我的代码：

但结果显示如下：

感谢您提供有关为什么这种简单格式不起作用的任何指示！

我现在很困惑，想知道，如果你能帮我解决问题。

在最近的 Anon/Lulsec 攻击之后，我质疑我的 php/mysql 安全性。

所以，我想，我怎么能同时保护 PHP 和 Mysql。

问题：谁能解释一下，当涉及到引号时，处理 PHP 和 Mysql的最佳实践是什么？

• 特别是在表单中，我需要某种 htmlspecialchars 来保护 html，对吗？
• PHP 是否可以通过表单完全被利用？是否需要任何类型的保护？
• 我应该在查询之前使用 real_escape_string吗？已经在 PHP 中使用它会不会是错误的/不好的（参见 sanitize_post 函数）？

目前我正在使用以下功能。该函数“清理”所有 $_POST 和 $_GET 变量。这“安全”吗？

我将 PHP 5.3.5 与 Mysql 5.1.54 一起使用。

谢谢。

我正在使用 Ruby on Rails 3.0.9，出于安全原因，我想知道何时可以、应该和必须使用该sanitize(...)方法。

一个使用示例可以是：

我在 Php Sanitize 和 Validate Filters 中使用，但我在添加一些规则时遇到问题，我对 php 有一些基本知识，所以我认为这个问题对你来说很容易。

我需要添加最小和最大字符数（14-15）并且我想接受这个字符（-或空格）。确切的序列是 0000-0000-0000（最后四位数字也可以是 5

谢谢

我将如何使用 sanitize，但告诉它禁止某些默认启用的标签？文档说明我可以把它放在我的application.rb

我可以将其作为参数传递给消毒吗？

我已经用谷歌搜索并搜索了 SO 和所有内容，但我无法得到答案。

为什么下面的 PHP 代码让加号通过：

（如果用户输入 1234+，它会像 vas 一样有效？？？？）。

我，通常，找到了一个旁路，但它真的有必要吗？

我想使用这种验证，并在需要时向 $aValid 添加特殊字符。

在插入 MySQL 之前，我会做 mysql_real_escape_string 或准备好的语句。

为什么 + 符号适用于第一段代码的任何想法。在我看来，真的不应该。

最新更新 - 我需要几个小时的低级调试 HTTP 标头来确定我的 A 端更改了 Content-Type 以便 + 号在到达 PHP if 子句之前变成空格（允许在我的白名单中）...

什么 - 我希望它永远不会发生在你身上 - 经验:)

提醒自己：如果 jQuery 在这个验证过程中扮演着如此重要的角色，那么应该提到它......

我有一个论坛风格的文本框，我想清理用户输入以阻止潜在的 xss 和代码插入。我见过使用 htmlentities，但后来其他人说 &,#,%,: 字符也需要编码，而且我看起来越多，出现的潜在危险字符就越多。白名单是有问题的，因为除了 ^a-zA-z0-9 之外还有许多有效的文本选项。我想出了这个代码。它能阻止攻击并确保安全吗？有什么理由不使用它，还是有更好的方法？

编辑：_ __ _ __ _ __ _ __ _ __ _ __ _ __ _ __ _ ____ 我当然可能是错的，但我的理解是 htmlentities 仅替换 & < > " （如果 ENT_QUOTES 已打开，则为 ' ）。这可能足以阻止大多数攻击（坦率地说，对于我的低流量站点来说可能绰绰有余）。然而，在我对细节的痴迷关注中，我进一步挖掘。我警告过一本书还要编码 # 和 % 以“关闭十六进制攻击”。我发现有两个网站警告不要允许：和 --。这一切都相当混乱对我来说，并引导我探索转换所有非字母数字字符。如果 htmlentities 已经这样做了，那就太好了，但似乎没有。这是我在 Firefox 中单击查看源代码后复制的代码的结果。

原始（要测试的随机字符）： 5： gjla#''*&$!jl:4

preg_replace_callback: <b>5:</b>gjla<hi>#''*&$!jl:4

htmlentities（带 ENT_QUOTES）：<b>5:</b>gjla<hi>#''*&$!jl:4

htmlentities 似乎没有对其他字符进行编码，例如：对不起文字墙。这只是我偏执吗？

编辑＃2：_ __ _ __ _ __ _ _