个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
24
4
这里有点 PHP/MySQL 新手...
我一直在构建一个基于 PHP 的网站,该网站使用 MySQL 数据库来存储用户信息,例如他们的显示名称、用户名和密码。
我一直在学习转义、准备语句等,以及如何防止像“bobby”这样的 SQL 注入(inject);删除表用户--。
我正在使用 PDO 准备语句从表单中获取用户输入,以便将它们注册到数据库中。但是,我需要了解一些事情:
由于我使用的是准备好的语句,显示名称、用户名、密码等,我可以允许像这样的特殊字符吗@、#、$,甚至“单”或“双”引号?那么空间呢,国际字符、带重音的字符或类似 ♥ 的字符?当我问允许这些字符是否“可以”时,我是想知道是否会出现任何进一步的安全风险允许在人们的用户名或事物中使用引号或括号喜欢粗体或斜体的 html 标签?
如果可以允许大多数特殊字符,但不允许一些:是有任何特定的“危险”字符(在 MySQL 的范围内)我绝对需要将其设为非法? (我觉得引号可能合适这个议程,但我收到的信号不一。)
如果我允许使用典型的“字母数字”之外的字符和下划线”范围,有没有我以后可能遇到的陷阱(在 MySQL、SQL 或 PHP 中)允许使用奇怪的字符?我会吗需要以某种方式使 html 标签显示为字符串,而不是实际的标签,在显示人们的用户名时?或者我需要逃跑吗每当我想向他们查询时在人们的用户名中引用?或者这些都不重要,因为我将使用准备好的语句与 PDO?
像 utf8 或 utf16 这样的字符集会出现在任何地方吗?可以接受最广泛的显示名称和用户名,同时还在确保这些字母表可以呈现在我的网站上吗?
我知道有些西里尔字母看起来与英文的。我曾经直接从 MS Word 中复制这些并使用他们在我的用户名中。我意识到这些可以用来感知模仿其他成员,只需换出一个英语“a”为西里尔字母“a”。带有 ♥ 的用户名可能很难搜索是否有人不精通替代代码。应该这样是一个问题?您对此有何看法?
提前感谢任何能给我一些见解的人。
最佳答案
这SQL Injection Cheat Sheet有几个 MySQL 查询示例,您可以在开发过程中对其进行测试。
这是一个很好的资源,可以帮助您了解关于什么是“可接受”的一些问题,并且您必须考虑“一条数据”的整个生命周期。
通常,一段数据可能以HTML 形式 开始,然后POST 到您的PHP 脚本(因此,如果用户需要,他们可以直接POST 数据而无需表格)。然后您的 PHP 脚本(希望)清理 数据,然后存储。
在数据库中时,您可能正在执行备份 操作,将其保存到SQLDump,或进行其他某种维护。
然后显然数据会在某个时候被读取,如果它是一种 Markdown 语言,它可能会被编译,最终它被发送到某人的浏览器,它可能是< strong>注入(inject)html并显示。
如您所见,在数据的生命周期中有很多地方可能会出错。如果您没有考虑到所有这些,您可能会看到一些常见的错误,例如每次保存/加载数据时反斜杠自身堆积。sql 错误,容易受到攻击等。
你想支持什么样的数据?这取决于你。只要确保您正确处理它即可。
关于PHP/MySQL - 显示名称/用户名/密码的安全字符,带有 PDO,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11113406/
24
4
0
我想做的是从 table1 中获取 usernames 和 picURLs WHERE usernames = all the usernames from this query (从表 2 中选择用
我使用字符串“username”作为表的主键, 但是,当保存并获取具有用户名ID的列时,我希望忽略这种情况,以使新用户无法尝试模拟其他用户。 ,例如注册新用户时 用户名=达克森 用户名= DaXoN
在 ReportManager 中,我有很多用户提示这个错误。当我筛选 RS 日志时,我多次看到不同用户的以下错误: session!ReportServer_0-2!1e40!04/20/2011-
我是 Node js新手,我正在尝试将MySql与 Node 连接的示例。当我运行代码时,我得到 Error while performing Query.Error: ER_ACCESS_DENIE
收集整理了15个常用的javaScript正则表达式,其中包括用户名、密码强度、整数、数字、电子邮件地址(Email)、手机号码、身份证号、URL地址、 IPv4地址、 十六进制颜色、 日期、 QQ
我正在做一个需要以下内容的项目。 服务器端的 WCF 服务 (.NET 3.5) 客户端的 WPF 客户端 (.NET 3.0) 我有一个现有的应用程序,我必须使用(在服务器端)的身份验证和授权。我还
用户名,密码和电子邮件的标准最小和最大长度是多少? 最佳答案 我对此问题有疑问,因为它预先假设应该有一个标准,并且所有服务的值都应该相同。 我认为为这些字段中的任何一个(例如密码字段)加上最大长度是没
我看到in the standard我可以拥有 autocomplete要么等于 username或 email在输入字段上。 就我而言,用户名实际上是用户的电子邮件。 什么是最好的autocompl
我正在尝试编写一些网站代码并创建用户名和密码。我不知道这是否完全合乎逻辑,或者即使代码已修复,它是否仍能工作,但我是一个初学者,我正在从零开始工作。这是我所拥有的: alert("Welcome.
我想使用ncat编写一个简单的bash脚本,以打开与ISP及其端口的连接。 第一个命令是: nc address port 完成此操作后,首先提示我提供一个用户名。我必须按ENTER键,然后提示我提供
我收到此错误是因为我创建了一个自定义用户模型,并且在完成所有设置后(将其设置为django / contrib / auth / models.py),我将电子邮件设置为USERNAME_FIELD,
我有 3 台 Windows 7 Professional 机器。两台被设置为安装了 Git 的开发机器(一台台式机和一台笔记本电脑)。第三个是设置为安装了 Git 的文件服务器,并且它还作为 ssh
def login(): UserName = input("Please enter your username: ") passw = input("Please enter yo
我正在 Kivy 中创建一个应用程序。我正在创建一个登录页面,允许用户输入密码和用户名,以验证他们以前是否使用过我的应用程序。我将用户名和密码存储在名为“users”的 MySQL 数据库中,该表称为
什么是 Mysql 查询 REGEXP 来调用它? @text @user_name @4ll_r1ght @last2 @_last1 @and1more_ 最佳答案 SELECT * FROM u
我在寻找用户名和电子邮件垃圾邮件列表。当用户尝试注册时,我想检查他们输入的用户名或电子邮件是否在用户名/电子邮件垃圾邮件列表中,如果是,则将帐户标记为可疑垃圾邮件并手动验证成员资格。 它背后的后端不是
你好, 我被一个小问题困住了, 我需要允许 muplite 用户能够登录 我的 php 代码与一个成员一起工作,我怎样才能让多个用户可以登录, 如果有更好的使用 MySql 的方法请告诉我 $
是否有一组在编译时创建的定义,我可以使用它们来填充 printk 语句,其中包含有关在哪里以及谁最后构建内核驱动程序的信息?我知道有预定义的 C 宏,我希望在那里找到一些在编译开始时动态设置的东西,但
我正在为我正在开发的网站创建登录脚本。目前,我已将用户名和密码硬编码到脚本中。即 $usersAndPasses = array( 'username1' => 'password1',
我想像这样从成员列表页面收集用户名: http://www.marksdailyapple.com/forum/memberslist/ 我想从所有页面中获取每个用户名, 我想在 linux 中用 b
我是一名优秀的程序员,十分优秀!