php - 输出或输入过滤？

Question

输出或输入过滤？

我经常看到有人写“过滤你的输入”、“清理你的输入”，不信任用户数据，但我只同意最后一个，我认为相信任何外部数据都是一个坏主意，即使它是相对于系统内部。

输入过滤:我看到的最常见的。采取表单发布数据或任何其他外部信息源并在保存时定义一些边界，例如确保文本是文本，数字是数字，sql 是有效的 sql，html 是有效的 html 并且它不包含有害的标记，然后将“安全”数据保存在数据库中。

但是在获取数据时，您只需使用数据库中的原始数据。

在我个人看来，数据从来都不是真正安全的。尽管这听起来很简单，只需过滤从表单和 url 中获得的所有内容，但实际上它比这要难得多，它可能对一种语言安全但对另一种语言不安全。

输出过滤:这样做时，我将原始未更改的数据(无论它是什么)与准备好的语句一起保存到数据库中，然后在访问数据时过滤掉有问题的代码，这有其自身的优势:这在 html 和服务器端脚本之间添加了一个层。我认为这是某种数据访问分离。

现在根据上下文过滤数据，例如，我可以将数据库中的数据作为纯转义文本、html 或任何地方的任何内容呈现在 html 文档中。

这里的缺点是您永远不要忘记添加过滤，这比输入过滤要难一点，并且在提供数据时会占用更多的 CPU。

这并不意味着你不需要做验证检查，你仍然需要做，只是你不保存过滤后的数据，你验证它并在数据不知何故时向用户提供错误消息无效。

因此与其说“过滤你的输入”，不如说应该是“验证你的输入，过滤你的输出”。

那么我应该选择“输入验证和过滤”还是“输入验证和输出过滤”？

Answer 1

输入和输出没有通用的“过滤”。

验证您的输入，转义您的输出。如何执行此操作取决于上下文。

验证是关于确保输入落在合理的范围内，例如字符串的长度、美元金额的数量或正在更新的记录归执行更新的用户所有。这是关于保持数据的逻辑一致性，并防止人们做一些事情，比如将他们购买的产品的价格归零或删除他们不应该访问的记录。它与“过滤”或转义输入中的特定字符无关。

转义是一个上下文问题，只有当您处理的数据可能因注入(inject)某些字符而中毒时才真正有意义。转义发送给浏览器的数据中的 HTML 字符。对发送到数据库的数据中的 SQL 字符进行转义。在 JavaScript 中编写数据时转义引号 <script>标签。请注意您正在处理的数据将如何被您传递到的系统解释并相应地转义。