我有一个PHP页面，允许人们运行htpasswd来更新他们的密码。清理他们的输入的最佳方法是什么。我不想将输入限制太多，因为我想允许使用安全密码。这就是我所拥有的。如何改进？$newPasswd=preg_replace('/[^a-z0-9~!()_+=[]{}.\\\/?:@#$%^&*]/is','',$inputPasswd);$cmdline=$htpasswd."".$passwd_file."".escapeshellarg($username)."".escapeshellarg($newpasswd);exec($cmdline,$output,$return_var

我到处都看到了不同的评论，有人说zend框架会自动清理发布/获取数据，但其他人则说不会。这是怎么回事？我已经看到在getParams上使用foreach进行预调度是最快的方法，但是有人有什么建议吗？ 最佳答案 可能是关于Zend_Controller_Request与Zend_Db的交易。请求数据通常放入DB。请求对象不转义任何东西。您可以强制它使用过滤器、表单过滤器或例如使用此处描述的反射技术:Actions,nowwithparameters!Zend_Db查询基本上像在其他ORM中一样被转义，如PDO.

我正在使用mysqli准备好的语句。我是否仍应使用以下功能清理用户输入:functionsanitise($string){$string=strip_tags($string);//RemoveHTML$string=htmlspecialchars($string);//Convertcharacters$string=trim(rtrim(ltrim($string)));//Removespaces$string=mysql_real_escape_string($string);//PreventSQLInjectionreturn$string;}谢谢。

我需要一个简单的脚本来刷新Magento缓存的每个元素。我正在运行1.3.2.3，无法升级。 最佳答案 刷新magento缓存的cron作业脚本示例:(该脚本发布在amartinez的magento论坛中)通过定时任务运行00  0 * * *   root /var/www/html/magento/cron_refresh_cache.php >> /var/log/cron_refresh_cache.logphp文件:#!/usr/bin/phpgetStore());$ver=Mage::getVersion();$use

我正面临这个问题。我更改了db.php文件，不幸的是我在php标签前后放置了空格。我在image.php文件中使用了它。我收到了已发送的错误header。我知道这是因为db.php中的空间，但我在image.php中使用了ob_clean。下面是代码。spaceishereandhereimage.php文件包含的代码当我删除db.php中的空格时一切正常。但是我无法理解为什么我的ob_clean不工作。你能解释一下吗。我不想更改db.php文件。因为我有问题。请不要问问题是什么。我想在image.php中完成所有更改以使其工作。请帮忙解决这个问题。 最佳答

有没有一种方法可以在不使用realpath()的情况下安全地清理路径输入？目的是防止像../../../../../path/to/file这样的恶意输入$handle=fopen($path.'/'.$filename,'r'); 最佳答案 不确定为什么您不想使用realpath，但路径名清理是一个非常简单的概念，大致如下:如果路径是相对路径(不以/开头)，则在其前面加上当前工作目录和/，使其成为绝对路径。将多个/的所有序列替换为单个(a)。将所有出现的/./替换为/。删除/.如果在末尾。将/anything/../替换为/。删除

我如何清理它以使用户无法将页面拉到本地域之外？ 最佳答案 最安全的方法是将您的页面列入白名单:$page='home.php';$allowedPages=array('one.php','two.php',...);if(!empty($_GET['page'])&&in_array($_GET['page'],$allowedPages))$page=$_GET['page'];include$page; 关于php-如何清理我的包含语句？，我们在StackOverflow上找到一个

我需要替换点之后的所有内容。我知道这可以用正则表达式来完成，但我还是新手，我不明白正确的语法，所以请帮我解决这个问题。我尝试了下面的代码但是没有用:$x="340.888888";$pattern="/*./"$y=preg_replace($pattern,"",$x);print_r($x);谢谢，迈克尔 最佳答案 我可能是错的，但这听起来像是使用RegEx锤子来解决一个明显非钉子形状的问题。如果你只是想截断一个正float，你可以使用$x=340.888888;$y=floor($x);编辑:正如Techpriester的评论

当将数据直接传递到:时，我是否需要从面向公众的表单中清理用户输入error_log();http://php.net/manual/en/function.error-log.php我知道这是一个相当简单的问题，但我在其他地方找不到任何东西。谢谢 最佳答案 关于日志注入(inject)攻击的OWASP页面很有帮助:https://owasp.org/www-community/attacks/Log_Injection有人可能会向您的日志中注入(inject)您不希望存在的数据，例如可能损坏文件的字符(取决于您稍后用来处理/读取文件

我一直有-我认为权限问题-解压缩文件(这部分没问题)并将内容移动到写入文件夹。我正在运行简单的代码:$zip=newZipArchive();$x=$zip->open($file);if($x===true){$zip->extractTo($target);$zip->close();unlink($file);rmove(__DIR__.'/'.$target.'/dist',__DIR__);}else{die("Therewasaproblem.Pleasetryagain!");}其中rmove()是一个简单的递归函数，它遍历内容并将rename()应用于每个文件。问题是解