问题标签 [sanitize]

就 jQuery（或 Javascript）而言，当一个人在 Facebook、Twitter 或博客上发表评论时，幕后会发生什么？

例如，他们是否首先清理文本，然后将 URL 模式匹配到实际链接中？除了对后端进行一些检查之外，客户端是否还有其他需要检查的事项？

我找到了一些将 URL 转换为链接的正则表达式，但我不确定是否有更好的解决方案。

我试图解决这个问题，但我很难知道从哪里开始。非常感谢您提供的任何指导！

我有一个 Java 程序，它使用使用 commons exec 执行的 hg 客户端与 Mercurial 存储库交互。由于我必须偶尔将用户输入传递给 hg（例如代理设置、源 url 等），哪些库可以为我清理输入？我目前只是在包括第一个';'之后剥离任何东西 字符，但不确定其他人可以运行任意命令的方法。

嗨，我想要一个生产数据库并在私有开发环境中使用它。但是，我想匿名化数据。

我已经搜索了一个小时，但我找到的所有内容都是针对 Oracle 或 SQL Server 的……没有针对 mysql 的。

我有大约 15 个表，其中包含 75 个应该匿名的字段。

有没有人找到推荐的解决方案？

我正在开发一个带有 Microsoft SQL Server 2005 数据库的 ASP2.0 网站。我需要实现一个功能，允许用户创建一个选择查询（不太复杂），以便网站显示一个带有查询结果集的页面。我的问题是如何清理查询以确保没有插入/更新/删除/删除或其他恶意注入。

此外，我需要将查询封装在“with”子句中，以便可以将标识列添加到结果集中。（我需要在页面上正确显示结果）

我用于格式化查询的 CSharp 代码如下所示（稍微简化）：

我想创建一个存储过程来执行查询。我在想这样的事情：

RestrictedUser 看起来像这样：

我的问题是：有没有办法在存储过程中检查 RestrictedUser 的角色以确保它们没有被篡改？如果有的话，还有 raiseerror。你认为这整件事是正确的方法吗？有什么建议吗？

过滤来自用户的输入（POST 和 GET）以避免 SQL 注入和这种性质的事情的行业标准是什么。到目前为止，我正在使用 filter_input() 和 mysql_real_escape_string() 函数？这是否足够，如果没有，我应该使用哪些其他方法？

我的网站上有一个TextArea，我将输入写入我的数据库。

我想过滤这个TextArea输入，但不删除任何 HTML 标签或其他东西。

简而言之，我想在将输入写入数据库之前对其进行清理和保护，但是当我从数据库中取回输入并将其写入网站时，我希望输入保持完整且未修改。

我怎样才能做到这一点？

我有一个评论框，当有人按下回车键时，Cake 会将一个 \n （换行）放入数据库。当我从数据库中检索它时，它会像 \n 一样显示，而不是实际的 break 或 HTML a
。

似乎没有处理 \n 的选项，我无法理解，因为在 textarea 中按输入是很常见的。我究竟做错了什么？

谢谢克里斯

我必须在用户提供输入的地方运行一些 shell 命令。我找到了一种看起来很安全的方法：system *%W(ls #{file}) [here]。

我需要获取该命令的输出，所以我不能只使用system. 有没有办法清理反引号``或 for的命令%x[]？

我正在使用富文本编辑器 (CKEditor)，我有机会让用户创建显示给其他用户的配置文件。

当我将 CKEditor 可以控制的许多属性显示为：

我的问题是：允许解析属性“样式”是否安全？这将允许显示文本颜色、大小、背景颜色、居中、缩进等内容。我只是想确保它不会允许黑客访问我不知道的东西！

给定一封 HTML 电子邮件，我使用以下内容来精简为文本：

但我现在看到一个标签通过了这个：

输出如下：

任何想法为什么？