问题标签 [sanitize]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - 清理/过滤用户评论的最佳方法?
我目前正在使用这个过程来清理/过滤用户输入的评论 - >
这个用于去除斜杠......和
然后评论通过这个函数来清理数据......
在此之后,它使用准备好的语句直接进入数据库..
我只是想知道这是否足够安全,或者它们是否是其他更好的选择......谢谢
ruby-on-rails - 在 Rails 中清理输入 XSS 和 HTML 输入
我知道我可以strip_tags在我的视图中使用 ActionView 辅助方法来清理输出,但是在将用户输入保存到我的数据库之前清理用户输入的最佳方法是什么?我应该找到一种方法将视图助手包含在我的控制器中并重用 strip_tags 方法吗?我认为 Rails 会有一些全球可用的东西来做这样的事情。
ruby - Ruby Sanitize Code ... 为什么是 & sanitized
我目前使用以下代码在存储字符串之前对其进行清理:
当字符串已经像这样被清理时,我的问题就会出现:
净化后的字符串将如下所示:
我可以通过替换将 < 变成<和 > 来进行消毒吗?>
ruby - Ruby Gem 和 Sanitize 的问题
我正在尝试安装 Ruby gem sanitize。我已经安装了 nokogiri:
但是当我尝试安装 sanitize 时,出现以下错误:
maven-2 - 在发布时匿名 pom.xml
我有使用 Maven 构建和发布的人工制品。artefact 的原始 pom.xml 包含通常的项目信息(artifactId、name 等)和依赖项。没关系。但是 pom.xml 还包含私有信息,例如 SCM URL、开发人员的名称或父级人工制品。
有什么方法可以告诉 Maven 生成一个经过清理的 pom.xml,以便可以将工件公开发布,而不会破坏依赖项等技术相关信息?
SCM URL、开发人员列表和父 pom(仅用于 DepMgmt 定义和其他元数据)的存在都与人工制品的用户无关,所以我认为我可以从发布 pom.xml
存储库管理器(如 Archiva)中的 pom.xml 和打包在人工制品的 jar 文件中的 pom.xml 都包含这些信息。我认为 Maven 只是在复制整个事情。
总结一下:
我有:
我想:
filter - 在php中过滤用户输入
我想知道 trim()、strip_tags() 和 addlashes() 的组合是否足以过滤来自 $_GET 和 $_POST 的变量值
php - 使用 PHP array_map 清理所有用户输入的性能问题
我正在运行这个功能来清理我网站上的所有用户输入,但它让我担心它可能会非常耗费性能......
我需要你的洞察力..谢谢
php - 清理预先填写的用户提供的表单输入
我有一个接受文本输入的表单。我希望它能够接受 & 和 ; 等字符 和 > 和 <,它们是用户提供的数据的有用字符。例如,我希望用户能够说
与号 (&) 被编码为 & (我从预览中看到我什至不能在这里这样做 - 它应该看起来像 & 号 (&) 被编码为 & 但我必须输入 amp;amp;在&符号之后让它看起来正确。)(顺便说一句,预览很酷,但我不能指望用户启用脚本)
我解析数据,如果有问题,我会将用户的输入以相同的形式呈现给用户,预先填写在相同的字段中,以供编辑和重新提交。
如果我呈现原始数据,我会冒着被浏览器执行恶意输入(例如脚本或 HTML)的风险。但是,如果我过滤它(例如通过 htmlspecialcharacters),那么用户将看到(表示)他输入的字符(例如,& 符号),但是当他重新提交时,他将 =actually= 正在提交替换(在这种情况下看起来像&amp;),结果它甚至包含一个&符号。如果输入仍然有问题,将再次呈现以进行编辑,我们将在替换中进入另一个层次。
仅当用户实际提交的内容与数据的净化版本相同时,才接受用户数据。它的目标是服务器上的文本文件,以及发送到网站背后组织的电子邮件。
我想“可以回答的问题”是“这可能吗?”
何塞
编辑:
导致用户尝试使用 & 和 & amp 分号回答问题的表单。如果被拒绝(比如说,因为其他非法字符),用户会看到他的输入,减去被剥离的字符。但是, amp 分号也被从视图中删除(尽管它在源代码中)。然后,用户将尝试在显示的结果中添加另一个 amp 分号。
用户看到显示的 & amp 分号(在拒绝输入时)的唯一方法是输入 & amp 分号 amp 分号
终于满意了,用户再次点击提交,amp分号貌似又消失了。用户不知道他的(提交的)答案将被存储为什么。
我希望用户能够输入:& amp 分号,并在拒绝时看到 & amp 分号,并在接受时存储 & amp 分号
何塞
php - 这个功能对是否适合消毒?
这取自O'Reilly 的 Learn PHP, MySQL, and Javascript:
这是处理POST和GET数据的全部需求吗?鉴于来源,我担心这对于初学者来说已经变得愚蠢了,我会让自己在以后容易受到攻击。
谢谢你。
python - 将用户输入用于 Python 的正则表达式是否安全?
我想让我的用户对某些功能使用正则表达式。我很好奇将用户输入传递给 re.compile() 的含义是什么。我假设用户没有办法给我一个可以让他们执行任意代码的字符串。我想到的危险是:
- 用户可以传递引发异常的输入。
- 用户可能会传递导致正则表达式引擎花费很长时间或使用大量内存的输入。
1.的解决方案很简单:捕获异常。我不确定 2 是否有一个好的解决方案。也许只是限制正则表达式的长度就可以了。
还有什么我需要担心的吗?