个人中心
文章发布
退出
作者热门文章
- mongodb - 在 MongoDB mapreduce 中,如何展平值对象?
- javascript - 对象传播与 Object.assign
- html - 输入类型 ="submit"Vs 按钮标签它们可以互换吗?
- sql - 使用 MongoDB 而不是 MS SQL Server 的优缺点
24
4
我有一个应用程序,用户可以在其中将文本输入到表单中。
数据保存到MySQL数据库(collation: utf8_general_ci),然后输出为XML(编码:UTF-8)。
问题是人们倾向于从其他来源剪切和粘贴他们的信息,例如 Microsoft Word 文档或 PDF。
此输入文本通常包含输出编码不正确的字符,例如“智能引号”,来自 Windows-1252 encoding 中的文档
这显然会在转换或以其他方式处理 XML 时引起问题,因为这些字符是非法的。
那么,如何净化输入呢?
以前,我使用过一些相当暴力的方法,比如 "de-moronize" script其中包含一长串搜索和替换操作。
这仍然是最好的方法吗?还有其他方法吗?
我可以只设置 accept-charset attribute 吗?在表格上并让浏览器为我做?
如果是这样,哪些浏览器会这样做,可能会出现任何问题吗?
另外,我的数据库怎么会接受这些字符,它们是 UTF-8 中的保留/控制字符?
如您所见,我对编码的了解足够多,知道我遇到了问题,但我现在有点不知所措...
TIA
最佳答案
This input text often has characters which are incorrect for the output encoding, things like "smart quotes", which come from a document in Windows-1252 encoding
“智能引号”(cp1252 中的字节 147 和 148)是完全有效的 Unicode 字符,U+201C 和 U+201D。您的应用程序应该能够无缝地处理它们;如果没有,你做错了什么,很可能所有非 ASCII 字符都会失败。
无论字符是来自输入它们的人还是来自 Word 粘贴的人,浏览器都应该向您的应用程序提交 UTF-8 编码的字符,该应用程序应该将相同的 UTF-8 字节存储到数据库中。
如果浏览器未以 UTF-8 格式提交,您可能无法设置包含表单的 HTML 页面的字符集。这可以使用:
Content-Type: text/html;charset=utf-8
HTTP header 和/或:
<meta http-equiv="Content-Type" content="text/html;charset=utf-8" />
中的元素。
Can I just set the accept-charset attribute on the form and have the browser do it for me?
不,由于 IE,accept-charset 基本上没用,IE 将其误解为“如果页面上的字符集无法编码我们想要的字符,请尝试使用此字符集”,而不是“始终使用此字符集”。这意味着如果您使用 accept-charset ,您最终可能会同时提交多种编码,而无法确定哪个是哪个。不错!
how come my database is accepting these characters, which are reserved/control characters in UTF-8?
在 MySQL 中,UTF-8 只是一个排序规则,用于比较和排序。它仍然将数据存储为字节,并不关心它们是否不是有效的 UTF-8 序列。
无论如何,在您的应用程序中解码和检查传入的 UTF-8 序列是个好主意,因为在现代 Unicode 中无效的“短序列”可以隐藏旧浏览器仍可识别的“<”字符(至少IE6 pre-SP2,Opera 7)。
预计到达时间:
So, I entered a string containing byte 146
不,您输入了一个 Unicode 字符 U+201B。浏览器处理 Unicode 字符,而不是字节,直到它必须将序列化的表单提交给服务器。然后它决定如何将字符转换为字节,如果页面被处理为 UTF-8,它将始终选择 UTF-8。
(如果不是 UTF-8,浏览器往往会以不符合标准的方式作弊:对于所有不适合编码的字符,它会将它们编码为 HTML 字符引用,例如 '’ ;'。这是错误的,因为您现在无法区分浏览器转义的 '&' 和真实的、用户键入的 '&',而且这是非常错误的,因为如果您随后将引用回显为未转义的 HTML,它看起来就像您做对了一样,实际上您只是制造了一个很大的旧安全漏洞。)
It went into the database as 146
真的是一个‘\x92’字节,而不是‘\xC2\x92’、‘\xE2\x80\x99’或‘’?
it came out when I produced the (UTF-8-encoded) XML, as 146. No complaints from the browser
然后它并没有以单个 146 字节的形式出现。当在 XML 文件中给出一个裸露的“\x92”时,浏览器会报错。 (不是 HTML 文件,其中无效的 UTF-8 序列作为缺失字符字形出现。)
我怀疑它是作为“”字符引用出现的,它是格式正确的(尽管字符 U+0092 是 C1 控制集的一部分,因此不会呈现为任何有用的东西)。如果发生了这种情况,那么您的表单页面毕竟没有被选择为 UTF-8,并且您正在遭受上述浏览器自动转义提交问题。
关于mysql - 如何在保存之前清理用户输入以进行正确的内容编码?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/750071/
24
4
0
我需要为元素属性动态构建 XPath 查询,其中属性值由用户提供。我不确定如何清理或清理此值以防止 XPath 等同于 SQL 注入(inject)攻击。例如(在 PHP 中): xpath("//m
问题很简单:在使用 PHPmailer 类时我应该使用任何类型的清理吗? 我制作了使用 phpmailer 类发送电子邮件的简单发送邮件表单。目前我只使用“htmlspecialchars”进行清理(
你可以在python中创建一个在for循环退出时运行清理代码的迭代吗?就像是: from random import randint class Iterable: def __iter__(
假设我定期将数据插入 SQLite 数据库,然后清除前 50% 的数据,但我不清理。 我现在是否有类似文件前 50% 的清零页面之类的东西?如果我添加另一批数据,我是否正在填写那些清零的页面? 手册中
我有一堆 HTML 代码,我想在其中删除所有 HTML 标记。 我认为 Regex(正则表达式)可以做到这一点。通过搜索和替换,我将如何执行此操作? 我尝试了 ,我认为 * 是通配符,但显然不是。
我仍在学习 Haskell,我想知道是否有一种不太冗长的方法来使用 1 行代码来表达以下语句: map (\x -> (x, (if mod x 3 == 0 then "fizz" else "")
我需要怎么做才能正确清理/转义程序化SSH命令中输入的参数? 例如,路径参数- public boolean exists(String path) { try { Chann
这个问题已经有答案了: How to clear the canvas for redrawing (25 个回答) 已关闭10 个月前。 我目前正在尝试创建一个带有雨滴落下的 Canvas ,我唯一
我目前正在使用此过程来清理/过滤用户输入的评论 -> 这个是用来去掉斜线的……和 if (get_magic_quotes_gpc()) { function stripslashe
是否可以在 portal_setup 中删除旧的导入配置文件。 目前,我的网站上有许多可追溯到 2009 年的条目:: import-all-profile-Products.Archetypes_
假设我有多个指令,包括以下内容: ...template content... ...template content... 你如何销毁指令?通常我会在 jquery 中做一些我 $('#2').re
我正在开发一个可移植java应用程序,它可以在用户的PC(Windows XP)上动态生成一些文件。现在,我想要的是在java程序退出后删除这些临时文件。显然,java的文件删除机制是不可信的。即
我有一个 argv c 程序,它反转单词,并查看它是否是回文。我只是想清理输出并让它打印原始输入而不是相反的输入,但由于它是 argv,我似乎不知道该怎么做。 int main(int argc, c
我的网页上有一篇用 markdown 写的文章,我想在索引页上显示一份简短的简历。 问题是正文有markdown,我想在简历上显示纯文本。 例如: Article text: Hello people
在下面的代码片段中,可以做些什么来a)让编译器安静,b)清理交叉的指针困惑? extern struct tree *sintablein[sintablesize]; struct tree *(*
我试图弄清楚 WeakHashMap 在垃圾收集后如何清理。正如你们中许多人可能知道的那样,当 WeakHashMap 条目的键被垃圾回收时,它会自动删除。但是,例如,如果我做这样的事情: List>
我对构建的理解是,它只编译上次构建中编辑过的Java文件,而干净构建将删除所有类文件并重新编译所有文件。那么,当单独构建就足以满足我提供最新版本的类文件的需要时,干净构建的效用是什么? 最佳答案 有时
是否有任何简单的(内置的、附加的、开源的或商业的)在 Postgresql(主从)上进行复制,以便在复制时清理从属内部的数据以符合 PCI 合规性? ETL工具怎么样?它不一定是瞬时的……最多一个小时
我有一个将数据保存到 MySQL 数据库的网站 在将 HTML 插入 MySQL 或在我的网站上显示它时,我应该转义 HTML 吗? 理想情况下,我想将原始 HTML 输入到我的数据库中,并在每次从中
我知道我已经asked一个关于 sanitizer 和转义的问题,但我有一个问题没有得到回答。 好了,到此为止。如果我有一个 PHP 脚本并且我 GET用户输入和SELECT它来自 mySQL 数据库
我是一名优秀的程序员,十分优秀!