如何使用PHP清理用户输入?
是否有某个功能全面的功能可以很好地用于清理用户针对SQL注入和XSS攻击的输入,同时仍然允许某些类型的HTML标签?
回答:
常见的误解是可以过滤用户输入。PHP甚至有一个(现在已弃用的)“功能”,称为magic-quotes,它基于此思想。废话
忘记过滤(或清洁,或任何人称呼它)。
为避免出现问题,您应该做的事情很简单:每当将字符串嵌入外部代码中时,都必须根据该语言的规则对其进行转义。例如,如果您在针对MySQL的某些SQL中嵌入了字符串,则必须为此使用MySQL的函数对字符串进行转义(mysqli_real_escape_string
)。(或者,对于数据库,在可能的情况下,使用预备语句是更好的方法。)
另一个示例是HTML:如果将字符串嵌入HTML标记中,则必须使用对其进行转义htmlspecialchars
。这意味着每个单行echo
或print
语句应使用htmlspecialchars
。
第三个示例是shell命令:如果要将字符串(例如参数)嵌入到外部命令中,并使用调用它们exec
,则必须使用escapeshellcmd
和escapeshellarg
。
等等等等 …
您需要主动过滤数据的 唯一
情况是接受预先格式化的输入。例如,如果您让用户发布HTML标记,那么您计划显示在网站上。但是,您应该明智地不惜一切代价避免这种情况,因为无论您对其进行多么好的过滤,它始终都是潜在的安全漏洞。
以上是 如何使用PHP清理用户输入? 的全部内容, 来源链接: utcz.com/qa/415544.html