php 过滤用户输入

Question

我想知道trim()、strip_tags()和addslashes()的组合是否足以过滤来自$_GET和$_POST的变量值

Answer 1

这取决于您想要执行哪种验证。

以下是一些基本示例：

• 如果要在 MySQL 查询中使用数据，请确保对数据使用 mysql_real_escape_query() 而不是 addslashes()。
• 如果它包含文件路径，请务必删除“../”部分并阻止对敏感文件名的访问。
• 如果要在网页上显示数据，请确保在其上使用 htmlspecialchars()。

但最重要的验证是仅接受您期望的值，换句话说：仅在您期望数字时才允许数字值，等等。

Answer 2

简短的回答：不。

长答案：这取决于。

基本上，如果不考虑您想用它做什么，您就不能说一定量的过滤是足够的或不够的。例如，上面的代码将允许通过“javascript:dostuff();”，如果您碰巧在链接的 href 属性中使用了这些 GET 或 POST 值之一，则这可能没问题，也可能不行。

同样，您可能有一个富文本区域，用户可以在其中进行编辑，因此从中剥离标签并不完全有意义。

我想我想说的是，有一组简单的步骤可以清理您的数据，以便您可以将其划掉并说“完成”。您始终必须考虑这些数据的用途。

Answer 3

这很大程度上取决于您要在哪里使用它。

• 如果您打算将内容显示为 HTML，请务必确保正确指定编码（例如：UTF-8）。只要删除所有标签，应该就可以了。
• 对于在 SQL 查询中使用，addslashes 是不够的！例如，如果您使用 mysqli 库，则需要查看 mysql::real_escape_string。对于其他DB库，请使用指定的转义函数！
• 如果您要在 javascript 中使用该字符串，则添加斜杠将不够。
• 您对浏览器错误感到偏执，请查看 OWASP Reform 库
• 如果 在 HTML 以外的其他上下文中使用数据，则适用其他转义技术。