输入验证的一般最佳实践有哪些？

Question

与使用 IRI 防止字符错误表示、欺骗或字符注入相关的最佳实践有哪些？

Answer 1

没有一种灵丹妙药可以防止所有涉及注入控制字符的攻击。漏洞很大程度上取决于数据的使用方式。例如，xss 使用控制字符 <>，而 SQL 注入使用控制字符 '"\，混合这两个过滤器是没有意义的。

可以使用正则表达式的集合来确保数据在使用之前有效。可以使用特定的正则表达式来防止逐个函数的特定漏洞，这超出了安全范围，并且通常是安全所必需的。 正则表达式

并不总是完成工作的最佳方法，例如，如果您使用 mysql 库，则应该调用 mysql_real_escape_string() 函数来确保 mysql 识别的所有控制字符都被正确转义。使用此功能而不是尝试编写自己的安全系统符合您的最佳利益，重新发明轮子是糟糕的工程，并且对于安全系统而言可能是灾难性的。