问题标签 [user-input]

用户等于不可信。永远不要相信不可信用户的输入。我明白了。但是，我想知道清理输入的最佳时间是什么时候。例如，您是否盲目地存储用户输入，然后在访问/使用时对其进行清理，或者您是否立即清理输入然后存储此“清理”版本？除了这些之外，也许还有一些我没有想到的其他方法。我更倾向于第一种方法，因为任何来自用户输入的数据仍然必须谨慎处理，“清理”的数据可能仍然在不知不觉中或意外危险。无论哪种方式，人们认为哪种方法最好，出于什么原因？

是否有一个很好的库可用于从鼠标/键盘/操纵杆收集 Linux 中的用户输入，而不会强制您创建可见窗口来这样做？SDL 可以让您以合理的方式获取用户输入，但似乎强制您创建一个窗口，如果您有抽象控制，这很麻烦，因此控制机器不必与渲染机器相同。但是，如果控制机器和渲染机器是相同的，这会导致在您的显示器顶部出现一个丑陋的小 SDL 窗口。

编辑澄清：
渲染器有一个输出窗口，在其正常使用情况下，该窗口是全屏的，除非它们都在同一台计算机上运行，​​这样就可以给控制器焦点。实际上可以有多个渲染器在不同的计算机上显示相同数据的不同视图，它们都由同一个控制器控制，因此输入与输出的完全解耦（利用内置的 X11 客户端/服务器的东西来减少显示可用）此外，一个渲染器的多个控制器应用程序也是可能的。控制器和渲染器之间的通信是通过套接字进行的。

我正在尝试减少我们网站上的垃圾邮件。（它实际上是最近的）。

我似乎记得在某处读到垃圾邮件发送者没有在网站上执行 Javascript。

真的吗？如果是这样，那么您是否可以简单地检查是否禁用了 javascript，然后确定它很可能是垃圾邮件？

我当前的项目是编写一个与现有桌面应用程序等效的 Web 应用程序。

在桌面应用程序的工作流程中的某些点，用户可能会单击一个按钮，然后显示一个要填写的表单。即使应用程序显示表单需要一点时间，专家用户也知道该表单将是什么并且会开始打字，知道应用程序会“赶上他们”。

在 Web 应用程序中不会发生这种情况：当用户单击链接时，他们的击键将丢失，直到显示下一页上的表单。有没有人有任何防止这种情况的技巧？我是否必须放弃使用单独的页面并使用 AJAX 将表单嵌入到页面中，使用GWT之类的东西，或者仍然会有丢失击键的问题？

我正在寻找获取简单输入的最佳方法：

并通过删除非字母数字字符、小写（大写）和用下划线替换空格来清理它。

顺序重要吗？是tr最好/唯一的方法吗？

我是在网络上开发东西的新手。到目前为止，我花了很多时间（50% 左右）来尝试防止坏人将诸如 sql 注入之类的东西放入我的输入表单并在服务器端验证它。这是正常的吗？

具体来说，我有一个 PHP 命令行脚本，在某个时候需要用户输入。我希望能够执行外部编辑器（例如 vi），并在恢复脚本之前等待编辑器完成执行。

我的基本想法是使用临时文件进行编辑，然后检索文件的内容。类似于以下内容：

我怀疑这在 PHP 命令行脚本中是不可能的，但是我希望有某种 shell 脚本技巧可以用来实现相同的效果。

关于如何在其他脚本语言中实现这一点的建议也非常受欢迎。

是否有一个包罗万象的功能可以很好地清理用户输入以进行 SQL 注入和 XSS 攻击，同时仍然允许某些类型的 HTML 标记？

如何限制用户可以输入到文本框中的 HTML 类型？我正在使用一些我正在测试的自定义软件运行一个小型论坛，但我需要知道如何限制 HTML 输入。有什么建议么？

我们的客户想知道谁在线并且当前正在使用我们为他们编写的自定义应用程序。我和他们讨论过，这不需要很准确，更多的猜测会起作用。

所以我的想法是确定用户活动的 15 分钟时间间隔。我这样做的一些想法如下：

1. 每次他们执行访问数据库或请求网页的操作时，用他们上次活动的日期和时间标记他们的用户记录......虽然这可能是数据库密集型的。

2. 从我们的软件发送“谁在线请求”，寻找响应，这可以在预定的时间间隔内完成，然后在用户记录上标记我收到的每个响应的当前日期和时间。

你怎么认为？您将如何处理这种情况？

澄清

如果可能的话，我想为 Windows 或 Web 使用相同的架构。我有一个与多个用户界面交互的业务逻辑层，可以是 Windows 或 Web。

通过Windows，我的意思是客户端-服务器。

澄清

我使用的是 n 层架构，因此我的业务对象处理与表示层的所有交互。该表示层可以提供客户端-服务器 Windows 应用程序、Web 应用程序、Web 服务等。

它不是一个高流量的应用程序，因为它是为我们的一个客户开发的，最多可能有 100 个用户。