- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我从不同的博客中发现,强烈建议使用 htmlspecialchars()
在屏幕上输出任何数据,以免受 XSS 攻击
。
我正在使用 filter_input()
在插入到 database
之前过滤来自用户的任何数据。 filter_input()
将 '
等特殊字符转换为 '
并以这种方式保存,例如
I'm going to shopping with Molly's sister;Dolly
.我的问题是
如何使用 htmlspecialchars 向用户屏幕打印(输出)撇号或引号以及特定的特殊字符,以便输出对用户友好
我曾尝试使用 htmlspecialchars($post,ENT_NOQUOTES);
,但它会给我存储在数据库中的相同数据副本。如果我不使用 htmlspecialchars()
,只是 $post
给了我预期的结果,我认为它容易受到 XSS 攻击
感谢您的宝贵时间,期待得到同行的帮助。
编辑
我得到了使用 htmlspecialchars_decode()
或 html_entity_decode()
的建议,但是( https://stackoverflow.com/users/1338292/ja͢ck )还有一些人建议不要使用这些函数
在屏幕上输出数据。
请注意,我正在使用准备好的语句
和参数化查询
。但我不想保留任何安全漏洞,这就是为什么在发送到数据库之前过滤数据.
因为我在发送到数据库之前使用了filter_input()
来过滤数据,直接从数据库输出数据($post=$posted_data;
)是否安全使用 htmlspecialchars
?
如果我必须要用htmlspecialchars
输出数据,那么这种情况下我该怎么做呢?
代码示例
$stmt1=mysqli_stmt_init($connect_dude);
/*Inserting into database*/
if(isset($_POST['titlex']) && isset($_POST['pricex']) && isset($_POST['detailx'])){
$tit=filter_input(INPUT_POST,'titlex',FILTER_SANITIZE_STRING);
$pri=preg_replace('#[^0-9]#','',$_POST['pricex']);
$det=filter_input(INPUT_POST,'detailx',FILTER_SANITIZE_STRING);
$query2="INSERT INTO `hotel1`.`dine` (user_id,title,price,detail) VALUES (?,?,?,?)";
mysqli_stmt_prepare($stmt1,$query2);
mysqli_stmt_bind_param($stmt1, "isis", $logged_id, $tit, $pri, $det);
mysqli_stmt_execute($stmt1);
}
/*Get Data from DB*/
$query1="SELECT id101,title,price,detail FROM `hotel1`.`dine` WHERE user_id=?";
mysqli_stmt_prepare($stmt1,$query1);
mysqli_stmt_bind_param($stmt1, "i", $user_idx);
mysqli_stmt_execute($stmt1);
mysqli_stmt_store_result($stmt1);
mysqli_stmt_bind_result($stmt1, $id101, $title,$price, $detail);
while(mysqli_stmt_fetch($stmt1)){
$id101=$id101;
$title=$title; //htmlspecialchars needed
$price=$price; //htmlspecialchars needed
$detail=$detail; //htmlspecialchars needed
........................
........................
}
最佳答案
I am using
filter_input()
to filter any data that comes from user before inserting intodatabase
.
这是一种不好的做法。在将数据插入数据库之前不要破坏它。现在是 2015 年;不要清理,而是使用准备好的语句。
$db = new \PDO(
'mysql:host=localhost;dbname=mydatabase;charset=UTF-8',
$username,
$password
);
// other stuff in between
$statement = $db->prepare(
"INSERT INTO yourtable (email, username) VALUES (:email, :username);"
);
$success = $statement->execute([
':email' => $_POST['email'],
':username' => $_POST['username']
]);
准备好的语句消除了对 filter_input()
的需要。这样做不会增加纵深防御,只会破坏数据完整性并让自己头疼。
渲染输出时,如果要允许 HTML,请使用 HTML Purifier .
否则,使用 htmlspecialchars($output, ENT_QUOTES | ENT_HTML5, 'UTF-8')
以获得最佳结果。
推荐阅读:Web Application Security作者:泰勒·霍恩比。
关于php - 使用已使用 filter_input() 过滤的 htmlspecialchars() 从数据库输出数据,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28776784/
谁能解释一下,为什么我会收到非常奇怪的警告: filter_input() expects parameter 1 to be long, string given 当执行代码时,那是我类(class
这个问题最初是在评论中提出的 here . 是filter_input()如果您使用参数化查询和 htmlspecialchars() 仍然是必需的在打印任何用户提供的数据之前? 这对我来说似乎没有必
是否有一些等同于 filter_input 的东西,我可以像使用 $_POST 一样使用 $_SESSION? 当我尝试时,它给出了错误: 警告:filter_input():INPUT_SESSIO
我有这段代码: $range = array ( 'options' => array ( 'min_range' => 0, 'max_range' => 1
如何向 filter_input 添加选项和标志? PHP 文档说要使用关联数组,但没有给出任何有关正确语法的示例。我尝试过各种格式,包括以下格式: $textOpts = filter_input(
在使用 filter_input 时,我无法拉入 POST 数组变量。 POST 输入: type => 'container', action =>
这应该是一个基本问题,但为什么使用这样的东西更好: $pwd = filter_input(INPUT_POST, 'pwd'); 不仅仅是: $pwd = $_POST['pwd']; PS:我知道
在使用 filter_input 时,我无法拉入 POST 数组变量。 POST 输入: type => 'container', action =>
我创建了一个小的 PHP 脚本,它在带有 PHP 5.2.17 和 magic_quotes_gpc 的服务器上运行。指令启用。 我没有对 php.ini 文件的写访问权限,我想从用户输入中删除所有斜
我不知道何时使用它们中的每一个。 $name = mysqli_real_escape_string($connection, $_POST['name']); 或 $name = filter_in
我尝试了 PHP 的内置函数:filter_input() var_dump(filter_var('john.doe.@gmail.com', FILTER_VALIDATE_EMAIL)); 输出
我传统上使用 filter_var() 函数来清理 $_GET 和 $_POST 数据,例如: $foo = filter_var($_GET['foo'], FILTER_SANITIZE_NU
为什么这不起作用: if(!($data['email'] = filter_var(INPUT_POST,'email',FILTER_SANITIZE_EMAIL))) { $errors
在验证用户输入时使用这两个函数之一有什么区别?例如,严格针对函数调用,无需更改 $_POST 数组。 $result = filter_var($_POST['user_input'], FILTER
我从不同的博客中发现,强烈建议使用 htmlspecialchars() 在屏幕上输出任何数据,以免受 XSS 攻击。 我正在使用 filter_input() 在插入到 database 之前过滤来
我正在尝试修改这一行。 原来是 $cmd = $_REQUEST["cmd"]; 然后,我通过阅读这篇文章a link 更改为这个在 Stackoverflow。 $cmd = filter_inpu
为什么此行在我的实时服务器中返回 null? filter_input(INPUT_SERVER, 'REQUEST_METHOD'); 实时服务器是php5.5.9 我错过了什么吗? 我以为是用来替
我想确保在 MySQL 查询中使用 int 值之前已清理并验证该值。 这个项目不使用准备好的语句,因为我意识到这是最好的选择,所以我特别询问关于转换 int、intval() 和 filter_inp
这个问题在这里已经有了答案: How to read if a checkbox is checked in PHP? (21 个答案) 关闭 6 年前。 我的 HTML 代码如下:
我在表单中使用 get 方法,以便将复选框状态信息存储到数组中 我尝试使用 filter_input 行按顺序从每个复选框中获取信息并将其存储到一个数组中,当用 $_get 代替时一切正常,但我被告知
我是一名优秀的程序员,十分优秀!