验证用户输入（搜索过滤器）

Question

我正在构建一个搜索页面，但我有点不确定在清理和验证用户输入方面应该做什么。

搜索页面具有通过查询字符串传递的过滤器。 （有些是从输入传递的，有些是从具有复选框/单选类似行为的链接传递的）

在这种情况下我应该注意什么？我可以安全地使用 preg_replace （删除所有但）并转义吗？

另外 - 在将查询字符串放入链接之前，我是否需要对查询字符串（使用用户输入）执行任何操作？我是否应该添加另一个查询来检索可能的值、循环结果并排除那些未找到的用户输入？ （防止链接附加用户可能放入的虚假过滤器选项。虽然这不会影响更改后的网址的用户吗？）

我不知道这是否重要，但查询字符串中传递的一些过滤器是数组。

你怎么认为？我对此很陌生，很感谢您的帮助。谢谢！

Answer 1

从您的问题中不清楚您想要保护什么，但清理输入的常见问题是数据库。

在这种情况下，最重要的是：使用参数化查询。这可以立即解决您的大部分问题。这是一个很好的答案。

再多的转义也比不上更好。那。

至于清理查询字符串本身，问问自己：如果攻击者手动构建 URL，会发生不好的事情吗？或者他们只会得到一个错误页面？

Answer 2

PHP 附带了专门用于清理 MySQL 查询中使用的字符串的函数。

如果您使用（老式）PHP 函数 mysql_query() 向数据库发出查询，请查看 PHP 函数 mysql_real_escape_string。

$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
        mysql_real_escape_string($user),
        mysql_real_escape_string($password));