Not: Başka bir yerden sızan SQL enjeksiyonu ve çıkışına dikkat ediyorum - bu soru yalnızca giriş filtrelemesiyle ilgilidir.Kullanıcı girişi filtrelemesi - HTML'yi filtrelemeli miyim?
Kullanıcı filtreleme işlevlerimin yeniden yapılandırılmasının ortasındayım. o ise
- onay mb_detect_encoding()
- ile parametre kodlama (YOKSAY // ile) iconv() ile UTF-8 dönüştürmek: filter_var() bir türe özel filtreye GET/POST parametresi geçirmeden önce ben aşağıdakileri yapın değil ASCII veya UTF-8
- strip_tags() aracılığıyla geçmesi sonucunu a function found on GnuCitizen.org ile
- temiz beyaz-boşluk - hiç izin yok etiketleri, Markdown sadece
Şimdi soru: parametreyi htmLawed veya HTML Purifier gibi bir filtreye geçirmek hala mantıklı mı, yoksa girişi güvenli olarak düşünebilir miyim? Bana öyle geliyor ki, bu ikisi çoğunlukla izin verilen HTML öğelerinin ve özniteliklerinin (her şeyi kaldırdığım gibi ilgilenmediğim) ayrıntılarına göre farklıdır, ancak htmLawed belgelerinin bir nedeni olabileceğini düşündüren 'dangerous characters' bölümü vardır. onu kullanmak için. Bu durumda, bunun için bir mantıksal konfigürasyon ne olurdu?
Tehlikeli karakter UTF-8 denetim karakterleri olabilir. – Jacco
Onlardan nasıl kurtulacağınıza dair herhangi bir öneriniz var mı? – djn
Gerçekten notunu almıyorum, SQL Injection bir sql sorgusunda kötü kullanıcı girdisini engellemekle ilgili. Aslında, güvenlik açıklarının çoğu çıktı değil, kötü GİRİŞ oluyor. Bunlara "Taint ve Sink" güvenlik açıkları denir. – rook