让用户能够提交代码，在 php 中替换什么？

Question

嗨，我计划让用户能够提交一些代码（php、java、javascript c++ 等......无论他们想要什么，我的意思是）。

那么有人可以建议我最佳实践以确保我的网站安全吗？ :)）

我的意思是一旦提交代码字符串，在 php 中转义哪些标签/字符/字符串？

Answer 1

如果您的目的是在屏幕上显示代码，则在将其存储到数据库之前不需要转义或替换任何内容（如果您打算存储它）。当然，这不适用于通过诸如 mysql_real_escape_string() 之类的方法（或 RDBMS 的等效清理例程）转义数据库插入。这一步仍然是绝对必要的。

显示代码时，请确保：

1. 您不要通过 eval() 或系统调用评估任何提交的代码。

2. 将代码显示回浏览器时，使用 htmlspecialchars()。切勿在未转义的情况下显示它，否则您将引入跨站点脚本漏洞。

Answer 2

在查询中使用占位符，您甚至不必转义输入。
占位符、绑定和准备好的语句绝对是首选方法。

对于超过 1 个查询的任何内容都会更快，因为您可以重复使用句柄并只需更改输入。

这样更安全。该字符串不会被查询解释...永远。你存储什么，你就得到什么。

我需要更多地了解您的目标 sql 才能提供相关示例，但这里有一些链接：

PDO 样式绑定： http://docs.php.net/pdo.prepared-statements

MySqli 样式绑定：http://docs.php.net/manual/en/mysqli-stmt .bind-param.php

当您读回它时，使用

htmlspecialchars($string, ENT_QUOTES);

ENT_QUOTES 选项显示可确保单引号和双引号都被转义。

Answer 3

如果你不打算自动运行它，你不需要逃避任何东西（除了通常的 mysql 卫生）。

Answer 4

我不是专家（昨天才得知这一点），但至少对于 HTML，您可以尝试使用 htmlentities（查看 这个 ）。
一旦使用 htmlentities 转换某些内容，它就会变成纯文本，因此如果在浏览器中打开，您将看到标签和所有内容（例如，它将写入 )，如果将其写入日志或其他内容，然后在基于文本的编辑器中打开，您将看到一些代表 html 实体的符号和shnaz。

如果您需要转换回来，我认为您可以使用 html_entity_decode 函数，但我将进行猜测并假设您不需要转换回来。

对于其他语言，我不知道你应该做什么。