确保评论安全

Question

我正在尝试创建一个评论系统。我正在使用 php-OEmbed 类和 HTML 净化器。我可以使用什么过滤器来确保评论可以安全地插入到我的数据库中？我知道您可以使用 PHP 过滤器，例如 FILTER_SANITIZE_STRING，但是这些不会将 HTML 转换为实体吗？

另外，如果您使用诸如 WMD 编辑器之类的东西，那么您是否必须在客户端使用某些东西作为好吧（比如 PHP Markdown）以确保它是安全的？

Answer 1

您不需要使用任何过滤器来进行 SQL 注入。更好的解决方案是使用准备好的语句。例如，PDO 提供 PDOStatement。

Answer 2

基本上，每当您将用户输入发送到某个地方时，您都需要对其进行清理。

当您将其放入数据库时​​，您需要通过引用 SQL 特殊字符来防止 SQL 注入（准备好的语句将为您执行此操作）。当您将其发送到浏览器时，您需要转义 HTML 特殊字符（PHP 有执行此操作的函数）以防止脚本注入。

可能还有其他地方也需要转义特殊字符。例如，如果您将注释发送到服务器上的 Bash 脚本以进行某种处理。在这种情况下，您需要引用或转义 Bash 特定的特殊字符。

重要的是不要在错误的阶段引用/转义：例如，当您将 HTML 实体放入数据库时​​，不要对其进行转义，除非您完全确定自己在做什么。当您将其从数据库中拉出并准备将其发送到浏览器时，很容易再次意外地转义，或者在数据库连接失败时发送错误消息时根本不会转义（这可能会导致 XSS 漏洞） ）。在最后一刻逃跑，你很可能会避免这些陷阱。