是“过滤输入，转义输出”吗？对 PDO 仍然有效

Question

我在“过滤输入，转义输出”之前读过这篇文章，但是当我在 PHP 中使用 PDO 时，真的需要过滤输入吗？我认为使用 PDO 我不需要过滤输入，因为准备好的语句会处理 sql 注入。我认为“转义输出”仍然有效，但是“过滤输入”仍然有效吗？

Answer 1

是的，它仍然有效。

过滤并不是为了防止安全漏洞，而是为了不向数据库中填充垃圾。如果您期待一个日期，请在存储之前确保它至少看起来像一个日期。

转义输出是为了防止安全漏洞（即 XSS 或跨站脚本）。

所以，是的，两者都非常重要，并且与 SQL 注入完全无关（尽管相当多的开发人员仍然将过滤与 SQL 查询转义混淆，因此仍然可能受到漏洞的影响）...

Answer 2

是的，它仍然有效，具体取决于您保存的数据。

例如，假设您有一个评论框，并且用户编写了一条包含 HTML 标记的消息。在这种情况下，您经常希望从注释文本中删除上述 HTML 标记，即使它最终被转义（毕竟，它可能看起来不太好）。

还有其他情况，例如，如果您有电话号码字段，您可能需要对其进行过滤，使其采用应用程序使用的特定格式等等。

Answer 3

始终过滤用户输入。总是。也许您正在防范攻击，或者您正在执行业务规则验证等。请记住，没有任何技术或程序可以防止所有攻击，只能防止专门设计用于防止的攻击。 SQL 注入并不是唯一需要避免的问题。

Answer 4

根据 sql 注入和安全性，如果您正确使用 PDO 和绑定变量，则不需要进行清理。但正如 Jani 指出的，根据您保存的数据，例如不允许 html 的文本字段，您可能需要清理数据，或者如果该字段应该是数字，则对其运行 parseInt() 或某物。但这并不是安全所必需的，而是为了您自己的数据库的健全性。当有人试图将 html 放入评论中，而你吐出它并看到 > 时，这有点丑陋。 < ETC。

Answer 5

是的，它正在转义输入，但不会像 magic_quotes_gpc 那样立即转义。魔术引号是一种糟糕的安全方法。漏洞很大程度上取决于受污染数据的使用方式，你永远不可能拥有一个可以始终修复所有问题的函数。此外，在应用程序流程中，可能存在另一个函数破坏 magic_quotes 的情况，例如 stripslashes()、base64_decode()、urldecode()、htmlspecialchars_decode($var,ENT_QUOTES); 甚至 substr()。

简而言之，在使用时必须始终转义输入。 pdo 和 adodb 可以做到这一点，而且做得非常完美。