输入-免费文本字段的验证
我在PHP中搜索了很多关于表单验证的内容。不幸的是,所有关于验证机制的教程都是关于特定字段的,比如名称、邮件或日期。要检查这些字段中的用户输入是否正常,使用regex很简单。但是,检查自由字段的最佳方法是什么,比如contact-或注释字段?特别是在注释字段中,用户还应该使用“危险”字符,如"<“、">”或“‘”。
处理用户输入的最佳方法是什么?从逻辑上讲,将用户数据纯存储在数据库中是个坏主意。但是,阻止"<“、">”或“‘”这样的字符也是个坏主意。
我在PHP中看到了一个名为htmlspecialchars()的函数。很多网站都说,只要用户输入就可以调用这个功能。在我看来,如果没有更多的检查,这个解决方案是非常危险的。
有没有人给我一些提示,我可以在不降低“可用性”的情况下安全地验证我的用户输入?谢谢。
回答 1
Stack Overflow用户
发布于 2018-10-12 08:53:16
但是,检查自由字段的最佳方法是什么,比如contact-或注释字段?特别是在注释字段中,用户还应该使用“危险”字符,如"<“、">”或“‘”。
您可以对每个危险字符使用if (strpos($string, '<') !== false) (其中“危险”非常特定于域)。
处理用户输入的最佳方法是什么?从逻辑上讲,将用户数据纯存储在数据库中是个坏主意。但是,阻止"<“、">”或“‘”这样的字符也是个坏主意。
- 为了防止SQL注入,只需使用准备好的语句。(注意事项:未模拟准备好的陈述)
- 用于防止XSS,输出转义,而不是输入转义。
输入验证没有神奇的灵丹妙药。您必须知道您的代码如何处理数据,以确定哪些是安全的,哪些是不安全的。LDAP查询与SQL查询、XPath查询或文件系统路径有不同的安全性要求。
如果出于安全之外的原因,您正在寻找一个更通用的输入验证库,则电离器值得检查。
https://stackoverflow.com/questions/52020899
复制相似问题
腾讯云开发者
