问题标签 [sanitize]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
1392 浏览

javascript - jQuery 清理评论和链接 URL

就 jQuery(或 Javascript)而言,当一个人在 Facebook、Twitter 或博客上发表评论时,幕后会发生什么?

例如,他们是否首先清理文本,然后将 URL 模式匹配到实际链接中?除了对后端进行一些检查之外,客户端是否还有其他需要检查的事项?

我找到了一些将 URL 转换为链接的正则表达式,但我不确定是否有更好的解决方案。

我试图解决这个问题,但我很难知道从哪里开始。非常感谢您提供的任何指导!

0 投票
1 回答
218 浏览

java - 清理外部流程的输入

我有一个 Java 程序,它使用使用 commons exec 执行的 hg 客户端与 Mercurial 存储库交互。由于我必须偶尔将用户输入传递给 hg(例如代理设置、源 url 等),哪些库可以为我清理输入?我目前只是在包括第一个';'之后剥离任何东西 字符,但不确定其他人可以运行任意命令的方法。

0 投票
2 回答
5379 浏览

mysql - mysql数据屏蔽

嗨,我想要一个生产数据库并在私有开发环境中使用它。但是,我想匿名化数据。

我已经搜索了一个小时,但我找到的所有内容都是针对 Oracle 或 SQL Server 的……没有针对 mysql 的。

我有大约 15 个表,其中包含 75 个应该匿名的字段。

有没有人找到推荐的解决方案?

0 投票
1 回答
1390 浏览

c# - 清理用户创建的动态 SQL 查询。只允许 SELECT(不允许 INSERT、UPDATE、DELETE、DROP、EXEC 等...)

我正在开发一个带有 Microsoft SQL Server 2005 数据库的 ASP2.0 网站。我需要实现一个功能,允许用户创建一个选择查询(不太复杂),以便网站显示一个带有查询结果集的页面。我的问题是如何清理查询以确保没有插入/更新/删除/删除或其他恶意注入。

此外,我需要将查询封装在“with”子句中,以便可以将标识列添加到结果集中。(我需要在页面上正确显示结果)

我用于格式化查询的 CSharp 代码如下所示(稍微简化):

我想创建一个存储过程来执行查询。我在想这样的事情:

RestrictedUser 看起来像这样:

我的问题是:有没有办法在存储过程中检查 RestrictedUser 的角色以确保它们没有被篡改?如果有的话,还有 raiseerror。你认为这整件事是正确的方法吗?有什么建议吗?

0 投票
5 回答
2550 浏览

php - 如何在 PHP 中正确过滤来自用户的输入?

过滤来自用户的输入(POST 和 GET)以避免 SQL 注入和这种性质的事情的行业标准是什么。到目前为止,我正在使用 filter_input() 和 mysql_real_escape_string() 函数?这是否足够,如果没有,我应该使用哪些其他方法?

0 投票
3 回答
1299 浏览

php - PHP - 非破坏性输入清理

我的网站上有一个TextArea,我将输入写入我的数据库。

我想过滤这个TextArea输入,但不删除任何 HTML 标签或其他东西。

简而言之,我想在将输入写入数据库之前对其进行清理和保护,但是当我从数据库中取回输入并将其写入网站时,我希望输入保持完整且未修改。

我怎样才能做到这一点?

0 投票
3 回答
2490 浏览

cakephp - CakePHP 清理换行符 \n

我有一个评论框,当有人按下回车键时,Cake 会将一个 \n (换行)放入数据库。当我从数据库中检索它时,它会像 \n 一样显示,而不是实际的 break 或 HTML a

似乎没有处理 \n 的选项,我无法理解,因为在 textarea 中按输入是很常见的。我究竟做错了什么?

谢谢克里斯

0 投票
2 回答
1515 浏览

ruby - 如何清理 shell 命令并在 Ruby 中获取输出?

我必须在用户提供输入的地方运行一些 shell 命令。我找到了一种看起来很安全的方法:system *%W(ls #{file}) [here]

我需要获取该命令的输出,所以我不能只使用system. 有没有办法清理反引号``或 for的命令%x[]

0 投票
1 回答
1178 浏览

ruby-on-rails - 消毒安全吗

我正在使用富文本编辑器 (CKEditor),我有机会让用户创建显示给其他用户的配置文件。

当我将 CKEditor 可以控制的许多属性显示为:

我的问题是:允许解析属性“样式”是否安全?这将允许显示文本颜色、大小、背景颜色、居中、缩进等内容。我只是想确保它不会允许黑客访问我不知道的东西!

0 投票
3 回答
609 浏览

ruby-on-rails - Rails - strip_tags - 没有捕捉到 DOCTYPE?

给定一封 HTML 电子邮件,我使用以下内容来精简为文本:

但我现在看到一个标签通过了这个:

输出如下:

任何想法为什么?