问题标签 [sanitize]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
javascript - jQuery 清理评论和链接 URL
就 jQuery(或 Javascript)而言,当一个人在 Facebook、Twitter 或博客上发表评论时,幕后会发生什么?
例如,他们是否首先清理文本,然后将 URL 模式匹配到实际链接中?除了对后端进行一些检查之外,客户端是否还有其他需要检查的事项?
我找到了一些将 URL 转换为链接的正则表达式,但我不确定是否有更好的解决方案。
我试图解决这个问题,但我很难知道从哪里开始。非常感谢您提供的任何指导!
java - 清理外部流程的输入
我有一个 Java 程序,它使用使用 commons exec 执行的 hg 客户端与 Mercurial 存储库交互。由于我必须偶尔将用户输入传递给 hg(例如代理设置、源 url 等),哪些库可以为我清理输入?我目前只是在包括第一个';'之后剥离任何东西 字符,但不确定其他人可以运行任意命令的方法。
mysql - mysql数据屏蔽
嗨,我想要一个生产数据库并在私有开发环境中使用它。但是,我想匿名化数据。
我已经搜索了一个小时,但我找到的所有内容都是针对 Oracle 或 SQL Server 的……没有针对 mysql 的。
我有大约 15 个表,其中包含 75 个应该匿名的字段。
有没有人找到推荐的解决方案?
c# - 清理用户创建的动态 SQL 查询。只允许 SELECT(不允许 INSERT、UPDATE、DELETE、DROP、EXEC 等...)
我正在开发一个带有 Microsoft SQL Server 2005 数据库的 ASP2.0 网站。我需要实现一个功能,允许用户创建一个选择查询(不太复杂),以便网站显示一个带有查询结果集的页面。我的问题是如何清理查询以确保没有插入/更新/删除/删除或其他恶意注入。
此外,我需要将查询封装在“with”子句中,以便可以将标识列添加到结果集中。(我需要在页面上正确显示结果)
我用于格式化查询的 CSharp 代码如下所示(稍微简化):
我想创建一个存储过程来执行查询。我在想这样的事情:
RestrictedUser 看起来像这样:
我的问题是:有没有办法在存储过程中检查 RestrictedUser 的角色以确保它们没有被篡改?如果有的话,还有 raiseerror。你认为这整件事是正确的方法吗?有什么建议吗?
php - 如何在 PHP 中正确过滤来自用户的输入?
过滤来自用户的输入(POST 和 GET)以避免 SQL 注入和这种性质的事情的行业标准是什么。到目前为止,我正在使用 filter_input() 和 mysql_real_escape_string() 函数?这是否足够,如果没有,我应该使用哪些其他方法?
php - PHP - 非破坏性输入清理
我的网站上有一个TextArea
,我将输入写入我的数据库。
我想过滤这个TextArea
输入,但不删除任何 HTML 标签或其他东西。
简而言之,我想在将输入写入数据库之前对其进行清理和保护,但是当我从数据库中取回输入并将其写入网站时,我希望输入保持完整且未修改。
我怎样才能做到这一点?
cakephp - CakePHP 清理换行符 \n
我有一个评论框,当有人按下回车键时,Cake 会将一个 \n (换行)放入数据库。当我从数据库中检索它时,它会像 \n 一样显示,而不是实际的 break 或 HTML a
。
似乎没有处理 \n 的选项,我无法理解,因为在 textarea 中按输入是很常见的。我究竟做错了什么?
谢谢克里斯
ruby - 如何清理 shell 命令并在 Ruby 中获取输出?
我必须在用户提供输入的地方运行一些 shell 命令。我找到了一种看起来很安全的方法:system *%W(ls #{file})
[here]。
我需要获取该命令的输出,所以我不能只使用system
. 有没有办法清理反引号``
或 for的命令%x[]
?
ruby-on-rails - 消毒安全吗?
我正在使用富文本编辑器 (CKEditor),我有机会让用户创建显示给其他用户的配置文件。
当我将 CKEditor 可以控制的许多属性显示为:
我的问题是:允许解析属性“样式”是否安全?这将允许显示文本颜色、大小、背景颜色、居中、缩进等内容。我只是想确保它不会允许黑客访问我不知道的东西!
ruby-on-rails - Rails - strip_tags - 没有捕捉到 DOCTYPE?
给定一封 HTML 电子邮件,我使用以下内容来精简为文本:
但我现在看到一个标签通过了这个:
输出如下:
任何想法为什么?