我的印象是ORM使用某种卫生技术,但我不确定。我看了,对这个问题不太清楚。使用起来安全吗?$product = new Product();在POST之前没有进行消毒,还是必须始终在发送到Doctrine之前对我的价值观进行消毒
浏览 5提问于2017-05-17得票数 1
CakePHP在上的页面声明应该将用户输入的原始HTML存储在数据库中,并在输出时进行消毒:
为了对XSS进行卫生处理,它通常更好地保存数据库中的原始HTML,而无需修改,并在输出/显示时进行消毒。为什么最好在数据库中存储(潜在危险的) HTML,并且只对其进行消毒以供输出?消毒不会首先导致更小的存储,同时产生相同的功能吗?
浏览 4提问于2011-10-25得票数 2
回答已采纳
1回答
有没有人知道能让你隐藏/消毒数据的gem?
用法:下载一个生产数据库,运行一些卫生设施,这样真正的客户就不会收到电子邮件,信用卡等。
浏览 3提问于2010-05-26得票数 1
但我想我不需要给它消毒。或者我必须这么做?我在服务器端做我的卫生部分。
我能请教一下为什么会被报道吗?任何帮助都是非常感谢的。
浏览 0提问于2015-06-23得票数 0
1回答
我使用的测试查询是<script>Malicious code</script。我可能从根本上误解了这里的消毒,在这种情况下,请指出。如果是的话,我可以去填补知识上的空白,但与此同时,我可以向我的消毒液抛出什么“测试”查询来检查它是否有效呢?
浏览 0提问于2018-03-13得票数 1
回答已采纳
我一直都知道,消毒、获取和发布数据是很好的做法。还是插件API负责插件设置屏幕上的POST/GET消毒?消毒插件设置的最佳实践是什么?
浏览 0提问于2022-02-01得票数 1
回答已采纳
例如,tax_query中的术语会自动消毒吗?
澄清:这是一个技术/工程问题,特别是关于WP_Query类如何处理特定参数的问题。最近的几个答案提供了关于验证/消毒的哲学建议和一般最佳实践。
浏览 0提问于2021-05-04得票数 8
回答已采纳
1回答
我在代码中使用了mysql转义字符串。我把电子邮件地址存储在数据库里。这是我使用的转义字符串函数。但我今天查看了数据库,发现有人能够插入诸如"C:/Windows/xyz“、SQL查询等内容,这些内容已经包含在数据库中。这是如何发生的,即使当HTML不让你输入任何东西,除了一个适当的电子邮件地址?
浏览 2提问于2015-08-30得票数 0
回答已采纳
1回答
在我们的web应用程序中,我们需要允许用户输入丰富的文本,然后呈现给其他用户。我们正在寻找一个简单的WYSIWYG (JavaScript)编辑器,它输出一种与纯文本向后兼容的格式(以支持我们数据库中的现有文本),具有简单的富文本格式支持JavaScript和一个前端渲染器,它接受输出并能够显示它,而不能引入任何HTML标记。这将大大减少XSS的机会。我找不到任何大型项目来做这件事。CSP所有重要的cookie都是HttpOnly话虽如此,人们仍然觉得这里是生态系统中的一大
浏览 0提问于2020-04-14得票数 0
回答已采纳
2回答
我正在考虑xss消毒从一个面向互联网的ASP.NET MVC5网站收集的用户提供的输入。在浏览器中显示这些输入时,要对这些输入进行消毒,这是很好的文档和服务。然而,在构建包含用户提供的值的电子邮件的上下文中,我还没有找到关于如何最好地处理卫生处理的可靠指南。
默认情况下,我将发送纯文本消息,这表明我不需要对这些值进行HTML编码。
浏览 0提问于2015-10-03得票数 3
1回答
在这个小小的卫生功能中,我遇到了一个问题,因为用户没有输入电子邮件。因此,我引入了一个卫士子句来检查这个案例,然后只对用户名进行消毒如何在保卫子句中测试结构的值?
浏览 3提问于2015-11-27得票数 12
回答已采纳
3回答
为了对XSS进行卫生处理,它通常更好地保存数据库中的原始HTML,而无需修改,并在输出/显示时进行消毒。我的第二个问题是要显示消毒数据。消毒::html幂等吗?所以,我可以在我的beforeSave()方法中使用它,还是第二次保存它会中断,因为它再次被应用并给出了一个新的结果。
浏览 7提问于2010-01-30得票数 8
回答已采纳
我想知道下一个请让我知道,为了避免对xss漏洞的过度关注,或者知道实现那些$_GET的卫生设施是否重要--谢谢。
浏览 4提问于2020-05-10得票数 0
4回答
我知道,如果我在用户输入的过程中对数据进行消毒,我需要在自己操作数据并将其放入数据库时对其进行消毒。但这也适用于准备好的陈述吗?
因此,概括地说,来自用户->的数据使用准备好的语句->进入数据库。
浏览 2提问于2016-04-09得票数 1
回答已采纳
如果允许恶意用户在textarea元素中使用HTML标记,我应该如何防止他/她执行XSS攻击?我不会删除所有的标签或转义它们,所以我不能使用{{ }}。
浏览 2提问于2016-12-05得票数 0
回答已采纳
3回答
客户端HTML消毒有多安全?
、、、、
我非常谨慎,因为这似乎是很容易欺骗消毒转换器。我看到了一些关于Angular.js和它的html绑定的讨论,并且在Knockout.js 3.0出现时也听到了一些关于html绑定之前不安全的消息。例如,在Pagedown.js中,为了禁用消毒液,人们所需要做的就是-// safeConverter is编辑
那么为什么库会像这样的包使用消毒液来使用客户端呢?当然,他们说不要渲染未经消毒的html,但下一行是说使
浏览 2提问于2014-05-23得票数 11
回答已采纳
云服务器
ICP备案
腾讯会议
云直播
对象存储
腾讯云开发者
