我知道使用PDO几乎不可能进行SQL注入. 但是,我现在没有时间在我们的网站上更改所有与数据库相关的代码. (特别是由于我是PDO的新手,因此涉及一些学习曲线).所以我想知道什么mysql / php函数将提供与PDO相同的安全性. 这两点够了吗? >确保所有$_GET和$_POST数据都符合预期的类型(例如
我正在使用nodejs开发Web应用程序,并且需要转义输出.我还清理了所有输入,并删除了所有脚本和/ script标记以及它们之间的所有代码. 输出的哪些部分应该转义,并且有相应的模块吗?解决方法:在大多数情况下,您实际上不应该为特定情况清理输入内容.尝试将其存储为未经消毒的(不要剥离任
我正在一个项目中进行开发,该项目的REST API基本上在开发模式下中断,因为它具有更多的包含错误报告策略.这是该项目中的典型行: public function someAction() { // Returns a map of params => values sent with HTTP req $params = $this->getParams(); // This key ma
我有一个使用Spring,JPA(Hibernate)和Java验证框架(Hibernate Validator)的应用程序.我希望能够在域模型中注释允许包含HTML的字段,并在提交时自动清除它们.有人知道聪明的方法吗? 我尝试使用验证框架,但这不支持在验证时修改字段的值.我可以破解一些东西以使某些东西正常工作,但希
在子进程(shell = False)中使用文件名之前,通常要清理来自外部源(例如:xml文件)的文件名吗? 更新: 在发送一些解析的字符串之前,我想做一些基本的安全检查.给定的示例在远程模式下使用mpg123(命令行音频播放器)播放声音文件. filename = child.find("filename").text # e.g.: filenam
如何清理接收到哈希随机盐的字符串? 我可以删除空格,检查长度并使用mysqli_real_escape_string,但这足够吗? filter_var确实很有用,但在这种情况下无济于事,对吧?解决方法:如果要将变量放入SQL查询中,则需要调用mysqli_read_escape_string或(甚至更好!)使用prepared statements. 您无需
http://www.php.net/manual/en/filter.filters.flags.php 如何使用此功能将字符串简化为a-z,数字和_?解决方法:您将必须使用回调过滤器并编写函数 function my_filter($value) { return preg_replace('/[^a-z\d_]/iu', '', $value); } $var = filter_var($var, FILTER_CALLBACK
我有类似以下代码的代码,该代码声明一个类,其名称基于检索到的字符串.但是问题是该字符串可能包含PHP不能接受为类名的非法字符.因此,在将其用作类名之前,有没有一种好的方法可以对字符串进行清理? $retrieved_string = 'some unformatted string; it may contain illegal characte
我目前正在努力确保在将要提交给我正在处理的Web应用程序的数据库中提交的文本正确处理后再提交给数据库,然后正确地进行检索和显示. 忽略当前正在使用的清理功能的混乱情况(目前是一团糟,无法正常工作),这是我计划做的事情: >使用CKEditor进行文本输入.它会自动将HTML标记/符号转换
我的问题是,如何在PHP中直接覆盖POST / GET或简单地$_REQUEST值.我见过的大多数脚本都只是将一个变量分配给POST键,并用它们完成所需的工作. 我只需要清理输入,但是我的条件是:我不必为此使用变量.例如: $_POST['name'] = "Example's"; 但是,我需要将此POST值覆盖为: $_POST['name'
问题 我需要清理从用户输入到有效属性名称的字符串集合. 语境 我们有一个与运行时生成的类一起使用的DataGrid.这些类是基于某些参数生成的.参数名称将转换为属性.其中一些参数名称来自用户输入.我们实现了这一点,并且一切似乎都很好.我们清理字符串的逻辑是只允许数字和字母并将其
我有这段代码可以过滤用户输入的名为“ username”的变量: $username_clean = preg_replace( "/[^a-zA-Z0-9_]/", "", $_POST['username'] ); if (!strlen($username_clean)){ die("username is blank!"); 我想在此页面上的每个输入上执行相同的过程,但是我有大约12种不同的输入
这是我的一种形式(PHP MySQL,textarea替换为TinyMCE).它记录了带有段落,项目符号,标题和文本对齐方式(右,左,中和对齐)的描述. 提交后,记录显示为 <p style="text-align: justify;"><strong>Introduction</strong></p> <p style="text-align: justify;">The death of the p
也就是说,对于我的PHP代码中的常规使用而言.不像我要传递给我的查询或其他任何东西.解决方法:>如果将它们传递给SQL查询,则会获得SQL注入 >如果使用它们来形成文件名,则会出现任意文件读取漏洞>如果将它们按原样作为HTML页面的一部分输出给用户,则会出现XSS漏洞>如果将它们输出到文
我想知道是否有人使用过这门课并发现它可靠吗? http://www.phpclasses.org/package/3746-PHP-Remove-unsafe-tags-and-attributes-from-HTML-code.html 非常感谢!解决方法:我建议使用http://htmlpurifier.org/ HTML Purifier安全地清洁字符串.
目前我已经创建了一个API,使用MySql是一个数据库.但现在我想转向DynamoDB.在将数据插入MySql时,我使用bindParam来清理用户输入.但是如何在插入DynamoDB之前清理用户输入解决方法:AWS PHP SDK doesn’t come with a ORM(绑定). 但是,GitHub上会出现一些ORM选项:option1,option2. 编
我正在为Wordpress编写一个插件,我有自己的自定义表来存储从远程API中提取的相关数据.我需要存储的一个元素是URL,它是我数据库中的TEXT字段. 由于我已经看到很多评论说不要在Wordpress插件中使用标准的mysql_或mysqli_函数,我想知道在插入之前逃避URL的最佳方法是什么?是否足够使用
我有一个Python函数,我正在对输入参数进行一些消毒: def func(param1, param2, param3): param1 = param1 or '' param2 = param2 or '' param3 = param3 or '' 这适用于作为None而不是空字符串传递的参数.是否有更简单/更简洁的方法来循环函数参数以将这样的表达式应
有没有可用的C(或C)函数/类/库,只是为了清理可能包含HTML的字符串? 我发现很多源代码用于在C#或Web应用程序中使用的其他语言进行清理,但在C语言中没有. 如果我找不到任何可用的功能,我会尝试实现自己的功能,但我认为经过严格测试的解决方案会好得多. 编辑>对我的需求有一些更精确的
假设我们有一个网站询问用户他的名字. 然后,网站将此值存储在cookie中,并在下一页上通过PHP检索它并以某种方式使用它(可能页面将名称显示为文本). 用户是否可以修改cookie数据以注入恶意代码?是否应该通过脚本检索cookie数据进行清理? (这是一个假设情景.显然,这里不需要cookie.)解
这就是我现在拥有的. $date = mysqli_real_escape_string($dbc, trim(date('Y-m-d',strtotime($_POST['date'])))); 有人告诉我,在将它传递给strtotime()之前,我需要确保$date是安全/合法的.我怎么做?我抬头看了http://us3.php.net/strtotime,但它确实没有告诉我我在想什么. 有人
我是一名初学PHP开发人员,正在处理有关PHP脚本注入的问题. 幸运的是,PHP具有filter_var和strip_tags等功能,这对我来说非常适合.但我不明白Sanitize和Validate之间的区别请解释我的区别,谢谢解决方法:验证是确保输入符合您的业务规则.如果没有,则拒绝输入.您可能希望用户为您提供一
有没有办法安全地清理路径输入,而不使用realpath()? 目的是防止像../../../../../path/to/file这样的恶意输入 $handle = fopen($path . '/' . $filename, 'r'); 解决方法:不确定为什么你不想使用realpath,但路径名称sanitisation是一个非常简单的概念,沿着以下几行: >如果路径是
我用这个: function safeClean($n) { $n = trim($n); if(get_magic_quotes_gpc()) { $n = stripslashes($n); } $n = mysql_escape_string($n); $n = htmlentities($n); return $n; } 防止任何类型的MySQL注入或类似的东西.每当我用它来
在每个人都告诉我不应该进行客户端清理之前(我确实打算在客户端上进行清理,尽管它也可以在SSJS中运行),让我澄清一下我正在尝试做什么. 我想要一些东西,类似于Google Caja或HTMLPurifier但是对于JavaScript:一种基于白名单的安全方法,它处理HTML和CSS(当然没有插入到DOM中,这不安全,
