清理 UTF-8 编码字符串
我想在将 UTF-8 编码的字符串用作 MySQL SELECT 语句的一部分之前对其进行清理。 例如,我有: query = MySQLdb.escape_string(query) 但这行会导致引…
消毒?当它既不输出为 HTML 也不进入 SQL 查询时
查看一些网站后(例如 https://www.owasp.org/index.php/Main_Page) 我发现没有明确提及以下过程会给我带来哪些危险; 用户回答多项选择题。发送带有…
strip_tags() 是否处理嵌入标签
我不在安装了 PHP 的计算机上,想知道 strip_tags() 对以下文本的结果是什么: "ipt>警报('哦哦')ipt>" 它会返回: “警报('哦哦')” (即没有意识…
清理文本区域值:修剪所有行中的空格
我已设置粘贴事件来清理文本区域值。它已经完成了我需要的一切,除了一件事:修剪所有行开头和结尾的空格。有什么想法吗? $('#q').bind('paste',func…
检测字符串输入是否包含 HTML 的正确方法是什么?
当在表单上接收用户输入时,我想检测“用户名”或“地址”等字段是否不包含在 XML(RSS 提要)或 (X)HTML(显示时)中具有特殊含义的标记。 那么,检…
PHP 数据库访问清理工具包
我目前正在使用 php 标准库函数来清理 mysql_query 函数的字符串输入(不仅仅是 stripslashes 和 mysql_client_encoding 而是检查整个查询的一致性,…
存储序列化数组时进行清理
如果我将序列化数组存储到 mysql 数据库,我应该在使用序列化函数之前或之后进行清理。或者我什至需要消毒吗? 例如: $details['name'] = mysql_real…
PostgreSQL 美元引用字符串常量以防止 SQL 注入
我可以使用 PostgreSQL 的美元引用字符串常量安全地防止 SQL 注入吗? 我知道处理动态查询的最佳方法是使用参数化查询在应用程序层中生成它们,这不是…
将多个正则表达式合并为一个
我正在过滤所有用户输入以删除以下字符: http://www.w3.org/TR/unicode-xml/#Charlist(“不适合与标记一起使用的字符”)。 所以,我有这两个函数:…
在 Adodb for PHP 中清理 SQL 查询的输入
我正在优化使用 ADODBforPHP 的平台。我使用了一个清理函数,可以避免对以前版本的 PHP (mysql_escape_string) 进行 sql 注入,显然不再支持也不推荐…
原始 HTML 是否应该在输出或输入时进行清理?
CakePHP 的 Data Santiziation 页面指出,应该将用户输入的可能原始 HTML 存储在一个人的数据库并在输出时进行清理: 为了针对 XSS 进行清理,通常最…
php - 使用 preg_replace_callback 和 ord() 清理用户输入?
我有一个论坛样式的文本框,我想清理用户输入以阻止潜在的 xss 和代码插入。我见过使用 htmlentities,但后来其他人说 &,#,%,: 字符也需要编码,而且…
