我正在与一个网站开发团队合作。该网站将使用类。我负责为类创建数据访问层。有一种理解是,所有用户输入都将在检索时被转义(从 post 或 get)。由于对输入级别几乎没有控制(除非我亲自审查每个人的代码),我认为在我这边也加入转义会很酷(就在它到达数据库之前)。问题是我不知道如何在不添加更多斜线的情况下使用 mysql_real_escape_string。
由于用户输入很可能包含斜线,我无法检查以确保其中有斜线。我也许能够检查所有需要转义的东西并确保它们前面有斜线,但这似乎不是最好的方法。
有什么建议吗?
最佳答案
您是否考虑过在数据到达数据访问层之前不转义数据?我问,因为他们是您的团队正在采用的方法的一些问题:
' 对 HTML 而言并不特殊)和然后重新转义数据(因为 < 很特殊)。如果您需要向用户显示从数据库中提取的表单数据,您一定不能执行该反转义步骤(因为它是由数据库在保存数据时完成的),但仍然必须执行 HTML 转义步骤。如果您犯了错误并执行了错误的程序,就会损坏数据或更糟的是会引入安全问题。\' 是什么意思?对你的数据库意味着什么? '应该怎么弄或 \逃避——如果有的话?如果您更改数据库引擎,甚至更改其设置,这些都可能会发生变化。然后你有一堆转义/反转义代码可以找到。缺少单个转义/反转义可能会导致 SQL 注入(inject)。还有另一种方法:让需要转义数据的层自己转义。数据总是以原始的、未转义的形式在层之间传递。所以你的数据访问层做所有的数据库转义。您的 HTML 输出代码执行所有 HTML 转义。当您决定要生成 PDF 时,您的 PDF 代码会执行所有 PDF 转义。
关于php - 只逃避必要的东西,这可能吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1152080/
我试图获取一个长度在1到10之间的字符串,并输出将字符串分解为大小为1、2或3的连续子字符串的所有可能方式。例如:输入:123456将整数分割成单个字符,然后继续查找组合。该代码将返回以下所有数组。[1,2,3,4,5,6][12,3,4,5,6][1,23,4,5,6][1,2,34,5,6][1,2,3,45,6][1,2,3,4,56][12,34,5,6][12,3,45,6][12,3,4,56][1,23,45,6][1,2,34,56][1,23,4,56][12,34,56][123,4,5,6][1,234,5,6][1,2,345,6][1,2,3,456][123
我好像记得Lua有类似Ruby的method_missing的东西。还是我记错了? 最佳答案 表的metatable的__index和__newindex可以用于与Ruby的method_missing相同的效果。 关于ruby-难道Lua没有和Ruby的method_missing相媲美的东西吗?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/7732154/
我正在使用ruby1.8.7。p=lambda{return10;}deflab(block)puts'before'putsblock.callputs'after'endlabp以上代码输出为before10after我将相同的代码重构到这里deflab(&block)puts'before'putsblock.callputs'after'endlab{return10;}现在我收到LocalJumpError:意外返回。对我来说,这两个代码都在做同样的事情。是的,在第一种情况下我传递了一个过程,在第二种情况下我传递了一个block。但是&block将该block转换为pro
我遇到了ruby正则表达式的问题。我需要找到所有(可能重叠的)匹配项。这是问题的简化:#Simpleexample"Hey".scan(/../)=>["He"]#Actualresults#Withoverlappingmatchestheresultshouldbe=>["He"],["ey"]我尝试执行并获得所有结果的正则表达式如下所示:"aaaaaa".scan(/^(..+)\1+$/)#Thislooksformultiplesof(here)"a"biggerthanonethat"fills"theentirestring."aa"*3=>true,"aaa"*2=
当我写下面的代码时:x=[1,2,3]x我得到这个输出:[1,2,3,[...]][1,2,3,[...]][1,2,3,[...]]我不应该只得到[1,2,3,[1,2,3]]吗?解释是什么? 最佳答案 这没什么奇怪的。数组的第四个元素就是数组本身,所以当你求第四个元素时,你得到的是数组,当你求第四个元素的第四个元素时,你得到的是数组,当你求第四个元素时,你得到的是数组。第四个元素的第四个元素的第四个元素的元素......你得到了数组。就这么简单。唯一有点不寻常的是Array#to_s检测到这样的递归,而不是进入无限循环,而是返回
我在Ruby中有一个哈希:hash=Hash.new里面有一些键值对,比如说:hash[1]="One"hash[2]="Two"如果散列包含键2,那么我想将“Bananas”添加到它的值中。如果散列没有键2,我想创建一个新的键值对2=>"Bananas"。我知道我可以通过首先使用has_key?检查散列是否具有key2来做到这一点,然后采取相应的行动。但这需要一个if语句和不止一行。那么是否有一种简单、优雅的单行代码可以实现这一目标? 最佳答案 这个有效:hash[2]=(hash[2]||'')+'Bananas'如果您希望所有
按照目前的情况,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visitthehelpcenter指导。关闭9年前。我来自C、php和bash背景,很容易学习,因为它们都有相同的C结构,我可以将其与我已经知道的联系起来。然后2年前我学了Python并且学得很好,Python对我来说比Ruby更容易学。然后从去年开始,我一直在尝试学习Ruby,然后是Rails,我承认,直到现在我还是学不会,讽刺的是那些打着简单易学的烙印,但是对于我这样一个老练的程序员来说,我只是无法将它
在我们的项目中,我们有一些“被遗忘的”类存在了很长一段时间。那些类已被其他类替代,但我们忘记删除它们。是否有一些自动化的方法/工具可以发现Ruby{onRails}应用程序中没有使用哪些类?谢谢! 最佳答案 这个问题已经被提出了很多次,但是最好的答案都在这里:FindunusedcodeinaRailsapp我个人喜欢日志解析:https://stackoverflow.com/a/14161807但在任何情况下,您都可以创建自己的记录器,扩展ActiveRecord::Base以创建一个观察器,该观察器将最常用的模块存储在数据库中
我正在研究Ruby解释器是如何实现的,并且出现了一个问题,但我还没有得到答案。这就是标题中的那个:因为Class(r_cClass)将super设置为自身(忽略元类,因为实际上super是r_cClass的元类),如果我向Class对象发送一个方法,这将在Class的方法表中查找'类(class)。但是Class的类是Class,所以我不应该最终寻找Class的实例方法吗?但事实并非如此,因为在文档中Class类方法和Class实例方法是分开的。在Ruby的eval.c中的search_method中,我没有发现对Class类有什么特别的检查。任何人都可以阐明这一点吗?
我的googlefu很烂,找不到这方面的信息。基本上我想要一个实例变量,它只在类/模块的范围内可见,但也是不可变的。我是Ruby的新手,如果这个问题没有多大意义,我深表歉意。 最佳答案 classMyClassdefinitializeclass自然地,您会希望尽可能使用方法foo来读取值。一个更简单的等价物是classMyClassdefinitializedeffoo;1;endendend 关于ruby-Ruby中有常量实例变量这样的东西吗?,我们在StackOverflow上找到