问题标签 [sanitize]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
1085 浏览

ruby-on-rails - 在 Rails 2.3.8 中实现清理 simple_format

我创建了一个应用程序,允许用户输入大量不同的数据(帖子、评论等)。simple_format 对我有好处,现在我只想防止疯狂的东西。在阅读一些指南之前和之后我没有使用过消毒,我仍然对如何实施感到有些困惑。希望我能在这里得到一些指导。

假设我正在收集@post.body。如何删除用户可能输入的任何<div> 标签或标签?<script>我假设在视图中它看起来像这样:

...但是我在哪里定义哪些标签是不允许的?在 Post 模型中还是在 sanitize_helper 中?这里的正确语法是什么?

0 投票
1 回答
16237 浏览

bash - 出于安全目的,在 bash 中清理用户输入

如何清理 bash 脚本中的用户输入,以便我可以将其作为参数传递给另一个 shell 程序?我想防止以下情况:

我在想用双引号将用户输入括起来就足够了,如下所示:

但是如果有双引号$INPUT怎么办?

还是 bash 已经解决了这个问题?

0 投票
3 回答
1533 浏览

php - 是否可以强制您的 PHP 输入变量为强类型

当我开始使用 PHP 时,我对 PHP 的松散类型和易于学习感到非常满意。但是随着我的成长,我意识到松散的类型实际上使我的脚本变得复杂而不是简化它们。现在我正在寻找可以强类型化 PHP 变量的方法,特别是输入变量($_POST$_GET$_COOKIE$_REQUEST一些$_SERVER变量)。

此外,我希望在此过程中隐藏我的验证和清理,以便我可以“忘记”SQL 注入和许多其他容易出错的验证过程。我对我想要的样子有一个粗略的草图。

首先我声明变量。最好在 OOP 中

现在我可以从预定义的 PHP GLOBAL 中删除所有未声明的变量,并使用变量类型直接在全局数组中验证和清理它们。
我还可以将未验证变量(如 emaill)的值设置为 bool false 和 un-submitted 为 null,并在数据验证期间使用它们。然而,在我离开并重新发明轮子之前,我希望:

有人可能会引导我去一个已经帮助解决我的问题的图书馆?
如果有什么理由我不应该追求这种疯狂的幻想?实现这一目标的更好和更清晰的方法?
以及您对这个想法可能有的其他一般想法?

0 投票
3 回答
1011 浏览

ruby-on-rails - 我需要在我的 Rails 应用程序中嵌入 vimeo 或其他一些 html

有人可以指点我一个方向,以便我可以在 Rails 中使用嵌入代码吗?有时我需要嵌入一个幻灯片专业文件,有时我需要在同一区域嵌入一个 youtube 文件,有时是一个 vimeo 文件,用于不同的条目,使用嵌入代码是最简单的,但它会不断剥离嵌入代码。

使用消毒插件吗?有人可以指点我一个教程或给我一些帮助让我开始吗?

谢谢

0 投票
1 回答
245 浏览

php - 如何安全地将用户输入的代码保存到数据库中

我的网站上有用户可以提交代码的部分。我想安全地存储到数据库中。

我正在使用 php。我尝试使用 html 净化器将数据保存到数据库,但它删除了所有代码。

我很感激任何帮助。

谢谢。

0 投票
2 回答
1579 浏览

apache - 使用 Apache 清理 GET 查询

我看到这里有很多关于如何清理数据的讨论。是否可以像将这个重写规则添加到 .htaccess 一样简单?

据我了解,这将只允许字母、数字、_ 和 - 在 1 美元中,对吗?

如果您将准备好的语句添加到 SQL 查询的这种用法中,那应该是很好的证明,对吗?

不知何故,感觉太容易让人难以置信,我是否遗漏了什么,有什么方法可以巩固它?

0 投票
3 回答
2009 浏览

ruby-on-rails - Rails - Outputting content, sanitize or <%=h?

I recently made a small rails3 app to convert an old cms written in another language. After migrating the content I am having problems outputting content from the database.

The @content.desc field sometimes has html. Currently the only way I could get it to work was:

But is this the best way? When I use <%=h @content.desc %> I can see the html tags still. When I use <%= simple_format @content.desc %> I get wicked spacing.

Is there a definitive guide somewhere where I can see all of the options while outputting content? I've tried to search but can't turn anything up (rails newb, i know).

0 投票
1 回答
261 浏览

wordpress - 清理wordpress中的内联链接?

海。那么有人知道如何编写一个函数来清理通过所见即所得编辑器输入的特定类中的所有链接吗?我知道 wordpress 内置的 sanitize_title 功能,但我不知道如何引用这些链接(特定类中的链接)。非常感谢任何帮助。

0 投票
1 回答
1436 浏览

php - PHP 可以(应该)我 array_map filter_var 到 $_POST

我只是偶然发现了这段简洁的代码来$_POST快速过滤数据:

我已经将它更新到新版本(PHP 5.2 之后)并且我得到了

现在我很偏执;这似乎太容易了。所以

  • 应该对所有post数据都这样做吗?(狡猾的紧张的眼睛)
  • unsafe_raw通用、、或 cookie 数据的过滤器post是否get正确?

我应该补充一点,我只是在尝试使用一般的消毒剂,主要是为了删除 SQL 注入。如果我有电子邮件地址或其他东西,我可以稍后再次过滤。有什么想法/建议/惊恐的目光吗?

0 投票
2 回答
457 浏览

ruby-on-rails - 清理和命名空间

我想在我的 Rails 应用程序中使用一些“命名空间”自定义标签(使用 radius gem 开发)。我想使用 sanitize gem 来防止 xss 攻击,但是没有描述如何在 sanitize 中配置命名空间。有没有可能的方法?