在以下情况下我需要清理 Javascript 吗？

Question

我的问题是关于消毒。 在以下情况下我需要清理 javascript 吗？

我通过 ajax 将 javascript 数组作为 Json 发送到 php。该数组将在 php 中进行操作，然后一些数据将发布到 mysql。 请注意，用户在任何时候都不会自己写入值。该数组是根据用户单击的按钮创建的。

进一步阅读

基于清理（单选按钮、复选框和< ;option>) 我假设我需要清理 JavaScript。如果这是正确的，您建议我做什么清理工作？

我使用的数组是一个多维数组，如 Array[5][3]=2。它应该只包含数值。

Answer 1

关于清理，您只需要了解一条简单的规则：

1. 永远不要相信客户。

因此，遵循此规则意味着您是否清理客户端上的输入并不重要。您仍然需要在服务器上对其进行清理。

为了更深入地了解您的具体情况，仅信任 JavaScript 来完成这项工作是不够的，因为有些人可能没有启用 JavaScript。或者，怀有恶意的人可能会从浏览器环境外部进行这些 HTTP 调用，从而完全跳过 JavaScript。

Answer 2

不要认为它是“清理 JavaScript”，您必须始终了解 SQL 查询中使用的所有输入或值，或者直接输出到屏幕。

它应该被隔离，而不是清理，但是您可以通过清理和检查最大长度等来相当接近“安全”。

请记住，大多数攻击并不是简单的“从废话中删除”，它们是复杂的攻击利用特定的向量，例如 Microsoft SQL Server 或 MYSQL 版本等；

它可能是十六进制/ASCII，也可能是西里尔字母，你永远不知道。

---

永远不要相信任何输入。