什么是最好的，转义然后存储还是存储然后转义输出？

Question

在 stackoverflow 上进行了长时间的搜索后，我没有找到任何人谈论这个，即使这是一个很大的选择，问题是为了防止 XSS 和 SQL 注入，最好的方法是什么，转义数据然后将其存储在数据库中或者按原样存储并在输出时转义？

注意：如果可能的话，最好给出一些实践示例。

谢谢

Answer 1

数据必须经过正确的 SQL 转义（或按照其他人的建议与 SQL 分开发送）以进行存储，和 HTML 转义以供显示。

Answer 2

按顺序，您应该执行以下操作 -

1. 验证输入以查看其是否符合您的期望。如果没有，则拒绝输入并停止。如果满足，请继续执行下一步，不更改输入。

2. 将输入绑定到参数化查询，或在形成查询时转义输入。请注意，转义输入不会改变输入。数据库将始终包含用户输入的确切字符串。

3. 向用户显示时，必须根据上下文进行转义。大约有 5 种不同的方法可以对同一字符串进行转义 - 取决于您是将其显示在 HTML 元素、HTML 属性、Javascript、CSS 还是 URL 中。请参阅http://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting %29_Prevention_Cheat_Sheet。再次记住，转义不会改变字符串。用户必须始终看到他输入的确切字符串。

您可能想将修改后的字符串存储在数据库中 - 但请不要这样做。如果在 HTML 中对其进行转义，则永远无法在 javascript 中使用该字符串。如果您必须进行后端处理，则必须对字符串进行转义。你很快就会到达一个无法再做正确事情的阶段。

请记住，转义只是将数据从一层传输到另一层的一种方法。在静止状态（数据库或屏幕），数据应该看起来与用户输入的方式完全相同。

Answer 3

您的问题没有多大意义，因为尝试存储包含 SQL 注入的数据的行为正是导致 SQL 注入的原因。

无论哪种方式，您都应该使用参数化查询来防止 SQL 注入。

对于 XSS/HTML 转义，我个人宁愿在插入时执行此操作，因为这样您只需执行一次处理，而不是每次显示时执行该处理。一个小的优化，但是很简单。

Answer 4

转义输入，存储，然后转义输出。

---

如果您在存储时不进行转义，则很容易受到 SQL 注入的攻击。

示例：您有一个查询：

mysql_query("SELECT * FROM `table` WHERE `abc`= '{$_POST['def']}';

假设 $_POST['def'] 等于

blah'; DROP TABLE `table`; SELECT * FROM `table` WHERE 'abc' = '123

如果未转义，这将导致您的表被删除。

---

如果你不转义就输出，你就很容易受到 XSS 的攻击。

否则，用户可以将有害的 Javascript 注入其他用户可以查看的页面中。