清理用户提交内容的最佳方法？

Question

可能的重复：
PHP：终极清洁/安全功能

我正在开发一个实验性社交网络PHP 网站。所以，会有大量的用户提交的数据发送到数据库。

我不久前编写了一个自定义块脚本，它只会阻止提交某些字符或关键字。这有效，但它有一系列问题。

我听说addslashes和mysql_real_escape_string可以做到这一点，但在我得到一些可靠的建议之前我不想做任何事情。

我尝试了addslashes，它会在can't、don't等上添加斜杠。我不想要这样。

我只希望我的数据库免受 xss、html、php 和 javascript 攻击。有什么建议吗？

Answer 1

• 的准备语句
• 来自 PDO filter_var() 函数
• htmlspecialchars()

---

对于不了解 PHP 或查找有关函数的文档的人：

• 准备好的语句 - 将提供针对 SQL 注入的保护（但不能防止极端愚蠢的
• ）
• 行为 /code> 、 > 和 & 转换为 html 实体，从而防止 XSS。

我真的不认为这里有必要解释。

Answer 2

您应该先对任何内容进行 HTML 转义，然后再将其输出回用户。然后当它被输出回来时它就会安全了。对 PHP 使用 htmlspecialchars。请参阅最佳实践是什么避免 PHP 站点中的 xss 攻击了解更多信息并阅读 OWASP XSS（跨站脚本）预防备忘单。

Answer 3

到目前为止，所有好的答案，我想补充一点，您应该确保输入数据采用所需的编码 - 您还应该规范化不同类型的新换行符或完全剥离控制字符，我最终使用以下内容功能很多：

function Filter($string, $control = true)
{
    $string = iconv('UTF-8', 'UTF-8//IGNORE', $string);

    if ($control === true)
    {
        return preg_replace('~\p{C}+~u', '', $string);
    }

    return preg_replace(array('~\r[\n]?~', '~[^\P{C}\t\n]+~u'), array("\n", ''), $string);
}

它将从字符串中删除所有无效的 UTF-8 数据并规范新行。所有控制字符（制表符 (\t) 和换行符 (\n) 除外）都会被条带化，并且如果 $control == true 这些字符也被剥夺了。

---

PS：从安全角度来看，这不是很有用，但有助于避免 吉戈。

Answer 4

1. 对于 HTML 类型输入，请使用 HTMLPurifier 或类似工具过滤掉不需要的标记。
2. 存储数据之前验证表单字段
3. 写入数据库时​​，将准备好的语句与 PDO 或 MySQLi 一起使用。如果您正确绑定参数，这将为您处理 SQL 转义问题。
4. 在显示之前对来自数据库的输出进行转义，除非它被认为是安全的。