javascript - 数据验证和安全 : From user input to browser output – PHP/MySQL/JavaScript

Question

我想了解我必须遵循的步骤，以便在网站上安全地输入和输出数据。到目前为止，这是我的理解:

**

程序

**

1)用户输入数据

2) 此数据使用 JavaScript 进行验证。如果数据与你的结构不匹配请求，发送错误消息。

3) 如果 JavaScript 被禁用或浏览器不支持，数据也会使用 PHP 进行验证。 PHP 验证几乎与 JavaScript 相同。如果数据与请求的结构不匹配，则发送错误消息。

4)打开一个与数据库的连接(PDO方式)

5) 使用准备好的语句(PDO 方法)根据您的数据库检查输入数据，并在需要时返回错误消息[例如，如果数据是电子邮件地址，那么我们不能有 2 个用户相同的电子邮件地址/错误消息:此电子邮件地址已被注册。如果您已经注册，请登录或使用其他电子邮件地址进行注册。

6)完成所有检查后[客户端(JavaScript)和服务器端(PHP)]，使用准备好的语句插入un-将数据转义到数据库中。

7) 当请求数据并且必须在网络浏览器上显示时，只有转义(输出)数据，以防止 XSS。

**

安全

**

A) 当权限级别发生变化时(从登录到注销，反之亦然)，PHP 脚本将使用 session_regenerate_id – 减轻 session 固定

B)SSL 将用于最小化客户端和服务器之间的数据暴露

C) 表单将有一个隐藏字段嵌套一个anti-CSRF token，该字段将根据 session 中存储的 token 进行检查 – mitigate CSRF

D)密码将在使用Bcrypt 哈希算法(使用适当的盐)对其进行哈希处理后存储

E)(2)+ (3) 验证将使用正则表达式。我知道，错误的正则表达式会导致很多错误。是否有任何普遍接受的正则表达式来验证电子邮件地址、密码等？

**

问题:

**

1)我是否正确理解了输入/输出过程？我做错了什么吗？

2) 我知道在安全方面您永远无法得到 100% 的保护。我还应该做什么？我上面写的有错吗？

提前致谢。

Answer 1

1. 是的，您大体上理解得很好。
2. 正如您自己所说，这是一个无休止的开放话题。有成千上万的向量。其中一些是include injection(永远不要包含或读取盲目地从用户输入中获取的文件)，eval(避免将此运算符视为热铁)，upload injection 是一个包含多个问题的广泛主题(简而言之，始终验证输入数据格式)

作为正则表达式 - 哦，是的。试试谷歌。