PHP/JS：如何清理用户输入/输出

Question

例如，假设我有一个接收并显示用户评论（文本）的网站。我担心接收用户提交内容以及显示提交内容时出现的漏洞。

关注点：

• 跨站点脚本攻击

• SQL 注入

我的问题是是否还有更多攻击可能来自用户文本输入？另外，我可以通过哪些方式防范使用 PHP、Javascript 的此类攻击？

谢谢，圣诞快乐！

Answer 1

JavaScript 不是 XSS、CSRF 攻击的屏障，因此您应该关心服务器端保护。如果您谈论函数，那么这些将帮助您防范 XSS：htmlentities()、strip_tags()、utf8_decode()；正如 Zar 所说，mysql_real_escape_string 将帮助您避免 SQL 注入。
有很多文章专门讨论 SQL 注入、XSS、CSRF、会话劫持。转至 http://phpsec.org/projects/guide/ 并阅读全部内容。

Answer 2

您可以使用 strip_tags($var) 来防范 XSS。

mysql_real_escape_string($var) 将为您提供基本的 SQL 注入保护。

Answer 3

看看 php 过滤器库，它可以清理和验证不同类型的数据，从布尔值到电子邮件地址，函数如 filter_input 和 <一个href="http://www.php.net/manual/en/function.filter-input-array.php" rel="nofollow">filter_input_array 可以使您的应用程序更加安全和智能。

Answer 4

如果您使用 ajax 将一些表单数据作为 url 的一部分发送到服务器，请像这样对它们进行编码

encodeURIComponent(yourFormInputData);

，并记住在服务器端对它们进行解码。