PHP & mySQL : When exactly to use htmlentities?

Question

平台:PHP & MySQL

出于实验目的，我在自己的网站上亲自尝试了一些 XSS 注入(inject)。考虑这种情况，我有我的表单文本区域输入。由于这是一个文本区域，我可以输入文本和各种(英文)字符。以下是我的观察:

一个)。如果我只应用 strip_tags 和 mysql_real_escape_string 并且在将数据插入数据库之前不在我的输入上使用 htmlentities，查询中断并且我遇到显示我的表结构的错误，由于异常终止。

B).如果我在将数据插入数据库之前在我的输入上应用 strip_tags、mysql_real_escape_string 和 htmlentities，查询不会中断，并且我能够成功地将数据从 textarea 插入到我的数据库中。

所以我明白 htmentities 必须不惜一切代价使用，但不确定什么时候应该使用它。考虑到上述情况，我想知道:

1. 什么时候应该使用 htmlentities？它应该在将数据插入数据库之前使用，还是以某种方式将数据放入数据库，然后在我尝试显示来自数据库的数据时应用 htmlentities？

2. 如果我按照上面 B) 点中描述的方法(我认为这是我的案例中最明显和最有效的解决方案)，当我尝试显示来自D B？如果是这样，为什么？如果不是，为什么不呢？我问这个是因为在我浏览了以下位置的帖子后，它真的让我感到困惑:http://shiflett.org/blog/2005/dec/google-xss-example

3. 还有一个 PHP 函数叫做:html_entity_decode。当 htmlentities 应用于我的输入时，我可以使用它来显示来自 DB 的数据(按照 B 点中指示的程序进行操作后)吗？我应该从 html_entity_decode 和 htmlentities 中选择哪一个？

预览页面:

我认为在此处添加特定情况的一些更具体的细节可能会有所帮助。考虑到有一个“预览”页面。现在，当我从文本区域提交输入时，预览页面会接收输入并将其显示为 html，同时，隐藏的输入会收集此输入。当点击预览按钮上的提交按钮时，来自隐藏输入的数据被发布到一个新页面，并且该页面将隐藏输入中包含的数据插入到数据库中。如果我在最初提交表单时没有应用 htmlentities(但仅应用 strip_tags 和 mysql_real_escape_string)并且在文本区域中存在恶意输入，则隐藏输入被破坏并且隐藏输入的最后几个字符可见为 “/> 在页面上，这是不可取的。所以记住这一点，我需要做一些事情来在预览页面上正确地保留隐藏输入的完整性，同时收集隐藏输入中的数据，以便它不会破坏它。我该怎么做？对于延迟发布此信息，我们深表歉意。

提前谢谢你。

Answer 1

这是一般的经验法则。

Escape variables at the last possible moment.

您希望您的变量是数据的清晰表示。也就是说，如果您尝试存储名为“O'Brien”的人的姓氏，那么您肯定不想要这些:

O'Brien
O\'Brien

.. 因为，嗯，那不是他的名字:里面没有 & 或斜线。当您获取该变量并在特定上下文中输出它(例如:插入 SQL 查询或打印到 HTML 页面)时，即是您修改它的时候。

$name = "O'Brien";

$sql = "SELECT * FROM people "
     . "WHERE lastname = '" . mysql_real_escape_string($name) . "'";

$html = "<div>Last Name: " . htmlentities($name, ENT_QUOTES) . "</div>";

您永远不想将 htmlentities 编码的字符串存储在您的数据库中。当您想要生成 CSV 或 PDF 或 不是 HTML 的任何内容时会发生什么？

保持数据干净，只在当前的特定上下文中转义。