这些安全功能够用吗？

发布于 2024-08-31 11:05:24 字数 1641 浏览 7 评论 0原文

我正在尝试保护我的网站，这样我就不会受到 sql 注入或 xss 的攻击。

这是我的代码：

//here's the form (abbreviated)
<form>
<label for="first_name" class="styled">First Name:</label>
<input type="text" id="first_name" name="first_name" value="<?php if (!empty($first_name)) echo $first_name; ?>" /><br />

//submit button etc
</form>


if (isset($_POST['submit'])) {

 //gets rid of extra whitesapce and escapes
 $first_name = mysqli_real_escape_string($dbc, trim($_POST['first_name']));

 //check if $first_name is a string
 if(!is_string($first_name)
 { 
 echo "not string"; 
 }

 //then insert into the database. 
 .......

}

mysqli_real_escape_string：我知道这个函数会转义某些字母，例如 \n \r，所以当数据输入到 dbc 时，所有转义字母旁边都会有 '\' ？

这个脚本足以阻止大多数 sql 注入吗？只是转义并检查数据是否是字符串。对于整数值（例如用户输入价格），我只是：is_numeric()。
我应该如何使用htmlspecialchars？我应该只在回显和显示用户数据时使用它吗？或者我在将数据插入数据库时也应该使用它吗？
什么时候应该使用 strip_tags 或 htmlspecialchars？

因此，对于所有这些函数：

if (isset($_POST['submit'])) {

 //gets rid of extra whitesapce and escapes
 $first_name = mysqli_real_escape_string($dbc, trim($_POST['first_name']));

 //check if $first_name is a string
 if(!is_string($first_name)
 { 
 echo "not string"; 
 }

 //gets rid of any <,>,&
 htmlspecialchars($first_name);

 //strips any tags with the first name
 strip_tags($first_name)

 //then insert into the database. 
 .......

}

我应该使用哪些函数进行 sql 注入，哪些函数应该用于 xss？

用户什么时候可以插入针对我的 xss 脚本？什么时候有表格？

原文

I am trying to secure my site so I'm not vulnerable to sql injection or xss.

Here's my code:

//here's the form (abbreviated)
<form>
<label for="first_name" class="styled">First Name:</label>
<input type="text" id="first_name" name="first_name" value="<?php if (!empty($first_name)) echo $first_name; ?>" /><br />

//submit button etc
</form>


if (isset($_POST['submit'])) {

 //gets rid of extra whitesapce and escapes
 $first_name = mysqli_real_escape_string($dbc, trim($_POST['first_name']));

 //check if $first_name is a string
 if(!is_string($first_name)
 { 
 echo "not string"; 
 }

 //then insert into the database. 
 .......

}

mysqli_real_escape_string: I know that this function escapes certain letters like \n \r, so when the data gets inputted into the dbc, would it have '\' next to all the escaped letters?

Will this script be enough to prevent most sql injection? just escaping and checking if the data is a string. For integers values(like users putting in prices), i just: is_numeric().
How should I use htmlspecialchars? Should I use it only when echoing and displaying user data? Or should I also use this when inserting data to a database?
When should I use strip_tags or htmlspecialchars?

So with all these functions:

if (isset($_POST['submit'])) {

 //gets rid of extra whitesapce and escapes
 $first_name = mysqli_real_escape_string($dbc, trim($_POST['first_name']));

 //check if $first_name is a string
 if(!is_string($first_name)
 { 
 echo "not string"; 
 }

 //gets rid of any <,>,&
 htmlspecialchars($first_name);

 //strips any tags with the first name
 strip_tags($first_name)

 //then insert into the database. 
 .......

}

Which functions should I use for sql injection and which ones should I use for xss?

When can a user insert xss scripts against me? When there is a form?

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

怎樣才叫好 2024-09-07 11:05:24

检查数据是否是字符串是没有用的：字符串正是您用于注入的内容。

real_escape_string 是一种合理但不能保证避免 SQL 注入的方法，因为转义例程存在出现错误且无法正确转义的风险（事实上，之前已经存在错误）。正确的方法是使用参数化查询 - 这将分开查询结构中的数据，使得注入不可能。但是，如果您绝对不能使用参数化查询，则 real_escape_string （在打开连接时使用 set_charset）是最好的选择。

您将希望在用户可以触摸的任何内容上使用 htmlspecialchars，并且您希望在它显示在页面上时使用它。如果您希望用户格式化帖子或其他内容，那么您应该为他们提供一种类似于 BBCode 的格式化语言（并在运行 htmlspecialchars 后转换 BBCode）。如果您需要存储纯 HTML，您不会想使用 htmlspecialchars，但您会想确保只有受信任的人才能在那里写入。例如，如果您正在编写博客，那么在博客文章本身中允许使用纯 HTML 可能没问题，因为只有博客编辑才能在那里编写内容。但是，您不想在评论中允许它，因为每个人都可以在那里写东西，而这只会使像跨站脚本。

回复收藏 0 原文