正则表达式避免用户输入注入

发布于 2024-10-09 16:38:12 字数 247 浏览 0 评论 0原文

收到用户的输入后，我在服务器上执行以下操作（使用 PHP）：

$safe_input = ereg_replace("[^A-Za-z0-9-]", "", $_GET["input"]);

然后，我使用 $safe_input 变量进行 SQL 查询，并将其打印到用户的屏幕上。

这是否可以保证不会发生任何类型的注入（SQL 注入、XSS 等）？

谢谢，

乔尔

原文

Upon receiving an input from a user, I am doing the following on my server (with PHP):

$safe_input = ereg_replace("[^A-Za-z0-9-]", "", $_GET["input"]);

Then I am using the $safe_input variable for SQL queries and also printing it to the user's screen.

Does that guarantee that no injection of any sort (SQL injection, XSS, etc.) is possible?

Thanks,

Joel

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

能否归途做我良人 2024-10-16 16:38:12

嗯，它的作用是确保您在 $safe_input 字符串中只允许使用 AZ（大写或小写）、数字和“-”破折号字符。

理论上，您的 SQL 仍然可能会被某些人在输入中添加“--”来修改，以强制将语句的后半部分视为 SQL 注释。

像您发布的内容一样简单的内容并不是恶意代码注入的解决方案 - 当您希望允许用户发送除您明确允许的字符之外的字符时，很可能会导致出现问题。

您应该查看专门处理此类事情的第三方 PHP 库 - 有很多用于 SQL 和 XSS 预防的库。或者甚至查看服务器级别并考虑添加可用于此任务的 Apache 模块之一（当然前提是您使用的是 Apache...）。通过沿着这条路线，您将采取更全面的保护方法 - 并且您将利用该领域的专业知识，而不是尝试为您的项目重新发明这个特定的轮子。

回复收藏 0 原文