问题标签 [whitelist]

清理来自用户的输入的首选方法是什么？

谢谢你！

我正在一个网站上实现一个简单的搜索，现在我正在清理输入。我的计划是制作一个允许字符的白名单。我正在使用 PHP，到目前为止，我已经有了当前的正则表达式：

所以，我要删除任何不是字母数字、空格或连字符的东西。

这类事情是否有一个普遍接受的白名单，还是仅取决于应用程序？我将搜索书名、作者姓名和书籍简介。

AppEngine 允许定义黑名单，以禁止来自某些 IP 范围的访问 (http://code.google.com/appengine/docs/python/config/dos.html)。

我想做的是相反的：白名单，只允许从某些 IP 范围访问。

我不是网络专家，所以我希望能得到一些帮助：如果我想限制对 130.100.120.0 到 130.100.123.255 范围内 IP 的访问，可以使用 AppEngines 黑名单机制来完成，还是应该这样做从我的应用程序中检查？

谢谢。

我有一个表格，截至目前，您可以输入任何您想要的 javascript 等。任何 XSS 等

我该如何创建白名单，以便您只能发布字符。

在某些时候，我希望任何以开头的东西都http://转换为

<a href="http://..."></a>

谢谢

这有效率吗？ http://htmlpurifier.org/

我们正在为儿童开发一款教育多人游戏，并希望允许玩家使用白名单系统相互聊天。使用白名单聊天时，玩家将只能输入出现在白名单中的单词。

我们知道一般白名单的局限性，但我们认为白名单聊天系统可以让我们的玩家在游戏中更好地表达自己，同时允许比主持或黑名单聊天更高级别的安全性。

虽然该系统很容易实施，但我们无法在网上找到“安全”字词的示例白名单。有谁知道我们在哪里可以找到这样的列表，最好有允许我们在商业项目中使用它的许可证？

谢谢。

玩弄我可能实际使用的项目想法，我想我可能会尝试用 C# 或 Python 编写我自己的简单版本的 Bit9 Parity。我的问题是这样做的最佳方法是什么。我已经在 .Net 上搜索了阻止进程执行的功能，但我还没有真正找到我想要的东西。我想做的是从整体上监视系统内存，并拒绝启动任何进程或应用程序，除非在列表中明确指出。ProcessWatcher 引起了我的注意，但这不是针对特定的进程 ID。如何阻止所有其他进程启动？这在.Net中可能吗？蟒蛇呢？

回调函数array_filter()只传入数组的值，而不是键。

如果我有：

$my_array删除不在$allowed数组中的所有键的最佳方法是什么？

期望的输出：

我知道用正则表达式解析 HTML是不好的，并且它不能适用于所有情况（在 Stack Overflow 上有很多关于此的主题）。但我仍然想尝试使用基于白名单方法的正则表达式来清理 HTML。

我想向您展示我的代码（用 PHP 5.2 编写）。它似乎工作正常，但我仍然想知道是否存在安全问题。

那么，我有什么问题吗？

基本原理是使用 Html_Sanitizer::sanitize()

1. 该函数首先用标记替换没有属性的允许标记。然后解析带有属性的标签并用令牌替换它们。
2. 然后解析 HTML 标记以检测允许的属性（使用 cleanTag 函数）。因此，HTML 标记以（让希望）安全的方式重新构建。
3. htmlspecialchars 用于确保剩余代码是干净的
4. 令牌被替换为安全标签。

代码：

我正在使用 SQL Server 2005。我需要从表中选择与给定参数具有相同字符串的所有行。

唯一的问题是标题列可能包含在比较的@param 中已被“-”替换的特殊字符。

@param 中除 [az][AZ][0-9][-] 之外的任何字符都被替换为“-”，因此无法逆转这一点。（该值来自一个 SEO 友好的 url）

可能的标题值的示例以及它们的外观：

我不能使用 SQL REPLACE() 函数，因为我需要字符的白名单机制。标题栏中可能有我无法预测的非常特殊的字符。

正则表达式将是完美的。

我现在搜索了 2 天，但找不到在 T-SQL 中实现它的简单有效的方法。

我可以获取所有行并在客户端代码中进行过滤，但这对我来说似乎不是一个很好的解决方案。

有什么建议么？

在 Apache 中，仅向通过以下两个测试的用户授予访问权限的最佳方法是什么：

1. 用户未出现在黑名单中（或者，出现在白名单中）
2. 用户拥有有效的 LDAP 用户帐户

我已经进行了第二个测试，但我现在需要禁止一些有效的 LDAP 用户。请注意，我无法创建一个 AD 组来代表我的黑/白名单。