- r - 以节省内存的方式增长 data.frame
- ruby-on-rails - ruby/ruby on rails 内存泄漏检测
- android - 无法解析导入android.support.v7.app
- UNIX 域套接字与共享内存(映射文件)
如何通过 PHP 清理 $_GET 变量中的数据?
我通过 strip_tags
只清理了 GET 中的一个变量。我不确定是否应该清理所有内容,因为上次将数据放入 Postgres 时,使用 pg_prepare
最容易解决问题。
最佳答案
How do you sanitize data in $_GET -variables by PHP?
您不清理 $_GET 中的数据。这是 PHP 脚本中常用的方法,但它是完全错误的*。
您的所有变量都应保持纯文本形式,直到您将它们嵌入到另一种类型的字符串中。没有一种形式的转义或“清理”可以涵盖您可能将值嵌入其中的所有可能类型的字符串。
因此,如果您将字符串嵌入到 SQL 查询中,则需要在退出时对其进行转义:
$sql= "SELECT * FROM accounts WHERE username='".pg_escape_string($_GET['username'])."'";
如果您要将字符串吐出到 HTML 中,则需要将其转义:
Cannot log in as <?php echo(htmlspecialchars($_GET['username'], ENT_QUOTES)) ?>.
如果您按照不知道自己在做什么的人的建议,在开始时对 $_GET 数组执行了这两个转义步骤:
$_GET['username']= htmlspecialchars(pg_escape_string($_GET['username']));
然后,当您的用户名中有“&”时,它会在您的数据库中神秘地变成“&”,如果您的用户名中有撇号,它会在页面上变成两个撇号。然后,当您有一个包含这些字符的表单时,很容易在编辑它们时出现双重转义,这就是为什么这么多糟糕的 PHP CMS 最终会出现像“O\\\\的新书”这样的 splinter 文章标题\\\\\\\\\\\\\\\'赖利”。
自然,每次发送变量时都要记住 pg_escape_string 或 mysql_real_escape_string 和 htmlspecialchars 有点乏味,这就是为什么每个人都想在脚本开头的一个地方(错误地)这样做。对于 HTML 输出,您至少可以通过定义一个具有 echo(htmlspecialchars(...)) 的短名称的函数来节省一些输入。
对于 SQL,最好使用参数化查询。对于 Postgres,有 pg_query_params .或者实际上,正如您提到的那样准备好的陈述(尽管我个人认为它们不太容易管理)。无论哪种方式,您都可以忘记“清理”或转义 SQL,但如果您嵌入其他类型的字符串(包括 HTML),您仍然必须转义。
strip_tags() 不是处理 HTML 显示输入的好方法。过去它存在安全问题,因为浏览器解析器在解释标签的含义时实际上比您想象的要复杂得多。 htmlspecialchars() 几乎总是适合使用,因此如果有人输入小于号,他们实际上会得到一个字面的小于号,并且不会发现一半的文本神秘地消失了。
(*: 无论如何,作为解决注入(inject)问题的一般方法。当然,对特定字段进行特定领域的检查是值得的,并且您可以执行一些有用的清理任务,例如从提交的值中删除所有控制字符。但这不是大多数 PHP 编码人员所说的清理的意思。)
关于php - 通过 PHP 清理 GET 中的用户数据,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1314518/
我知道使用 GET 和 SET 函数的公共(public)变量的缺点/私有(private)变量的优点,但目前我正在使用 Ogre3D 开发自己的第一个“真实”游戏(C++)..同时,我有时需要 6-
我正在开发一个 GSM/GPRS 应用程序,它将每 10 秒报告一些值。我必须使用的 SIM 卡每月只有 15MB 可用数据。我使用的是 SIM900 GSM 芯片供您引用。 我到达服务器的方式是通过
这三者有什么区别:gets - 它获取带有 '\n' 的行gets.chomp - 它得到一行,但删除 '\n' 这样对吗? gets.chomp! 怎么样? 最佳答案 gets - 它得到一个末尾带
问题和我现在遇到的问题 脚本 顺便说一句,评论是挪威语的,如果它们看起来很奇怪哈哈 Connect-AzureAD #variabel $Users = Get-AzureADUser -All:$t
我现在面临的问题是获取一个 URL,如下所示: www.example.com/example.php?url=www.google.com 现在的问题是,如果我的网址中有一个 get,如下所示: w
我有一个 queryString 传递给 servlet 的 doGet() 方法,如下所示: count=9&preId0=-99&objId0=-99&preId1=-99&objId1=-99&
这是我在 Django 模板中的代码: {% for tag in tags %} {{ tag }} {% endfor %} 在view.py中: def tag_find(
我正在尝试在express.js中为我的网络应用程序创建一个路由系统,我需要知道是否需要使用app.get/post/put/delete.apply以编程方式设置多个功能对于一条路线。 也是如此 a
我正在通过示例查看 A.Mele Django,第 1 章 def post_list(request, category=None): object_list = Post.publishe
如果我想找到与IIS站点或应用程序关联的目录,我该怎么做? 我似乎无法从Get-Website和Get-WebApplication的对象的任何属性中找到任何允许我这样做的东西。 最佳答案 只需查看一
不知道发生了什么。当我执行以下代码时......它运行良好......但它产生了错误。如果我将以下内容粘贴到我的浏览器地址栏中并点击它,我会得到一个 URL。如果我通过 KRL http:get 输入
Curl 提供了一系列不同的带有 X 前缀的 http 方法调用,但也提供了不带 X 的相同方法。我两种都试过了,但我似乎无法弄清楚其中的区别。有人可以快速向我解释这两种操作有何不同吗? 最佳答案 默
request.GET.get 是什么意思?我在 Django 中看到类似的东西 page = request.GET.get('page', 1) 我认为它与类似的东西有关 « 它们是如
我正在从我的 Angular2 站点查询一些 Elasticsearch 服务器。为了帮助提高安全性,我们希望锁定对 GET 请求的访问权限。 Elasticsearch 支持带主体的 GET,但我在
关闭。这个问题是opinion-based .它目前不接受答案。 想改善这个问题吗?更新问题,以便可以通过 editing this post 用事实和引文回答问题. 4年前关闭。 Improve t
调用 HTable.get(List) 返回的 Result 数组的顺序是什么? ? 我的意思是,假设与输入列表的顺序相同是否正确? 最佳答案 结果数组中的顺序将与输入列表的顺序相同。与批处理方法一样
所以我有一个看起来像这样的 JSON 数组: var myData = { foo : { biz : 'baz', fig : 'tree' } }
我正在学习 Ajax、javascript 和 html,并且有一个应用程序可以触发“get”请求,然后再触发另一个“get”请求。这些请求是用户按下按钮的结果。在我的 servlet 中,我使用 T
关闭。这个问题是opinion-based 。目前不接受答案。 想要改进这个问题吗?更新问题,以便 editing this post 可以用事实和引文来回答它。 . 已关闭 6 年前。 Improv
运行以下 cmdlet 适用于组成员(Amer 域中的组)中的所有用户,无论列出的用户位于哪个域: Get-ADGroupMember -Server amer 但是,当尝试通过管道传输到 Get-
我是一名优秀的程序员,十分优秀!