草庐IT

PHP & mySQL : When exactly to use htmlentities?

coder 2023-06-10 原文

平台: PHP & MySQL

出于实验目的,我在自己的网站上亲自尝试了一些 XSS 注入(inject)。考虑这种情况,我有我的表单文本区域输入。由于这是一个文本区域,我可以输入文本和各种(英文)字符。以下是我的观察:

一个)。如果我只应用 strip_tags 和 mysql_real_escape_string 并且在将数据插入数据库之前不在我的输入上使用 htmlentities,查询中断并且我遇到显示我的表结构的错误,由于异常终止。

B).如果我在将数据插入数据库之前在我的输入上应用 strip_tags、mysql_real_escape_string 和 htmlentities,查询不会中断,并且我能够成功地将数据从 textarea 插入到我的数据库中。

所以我明白 htmentities 必须不惜一切代价使用,但不确定什么时候应该使用它。考虑到上述情况,我想知道:

  1. 什么时候应该使用 htmlentities?它应该在将数据插入数据库之前使用,还是以某种方式将数据放入数据库,然后在我尝试显示来自数据库的数据时应用 htmlentities?

  2. 如果我按照上面 B) 点中描述的方法(我认为这是我的案例中最明显和最有效的解决方案),当我尝试显示来自D B?如果是这样,为什么?如果不是,为什么不呢?我问这个是因为在我浏览了以下位置的帖子后,它真的让我感到困惑:http://shiflett.org/blog/2005/dec/google-xss-example

  3. 还有一个 PHP 函数叫做:html_entity_decode。当 htmlentities 应用于我的输入时,我可以使用它来显示来自 DB 的数据(按照 B 点中指示的程序进行操作后)吗?我应该从 html_entity_decode 和 htmlentities 中选择哪一个?

预览页面:

我认为在此处添加特定情况的一些更具体的细节可能会有所帮助。考虑到有一个“预览”页面。现在,当我从文本区域提交输入时,预览页面会接收输入并将其显示为 html,同时,隐藏的输入会收集此输入。当点击预览按钮上的提交按钮时,来自隐藏输入的数据被发布到一个新页面,并且该页面将隐藏输入中包含的数据插入到数据库中。如果我在最初提交表单时没有应用 htmlentities(但仅应用 strip_tags 和 mysql_real_escape_string)并且在文本区域中存在恶意输入,则隐藏输入被破坏并且隐藏输入的最后几个字符可见为 “/> 在页面上,这是不可取的。所以记住这一点,我需要做一些事情来在预览页面上正确地保留隐藏输入的完整性,同时收集隐藏输入中的数据,以便它不会破坏它。我该怎么做?对于延迟发布此信息,我们深表歉意。

提前谢谢你。

最佳答案

这是一般的经验法则。

Escape variables at the last possible moment.

您希望您的变量是数据的清晰表示。也就是说,如果您尝试存储名为“O'Brien”的人的姓氏,那么您肯定想要这些:

O'Brien
O\'Brien

.. 因为,嗯,那不是他的名字:里面没有 & 或斜线。当您获取该变量并在特定上下文中输出它(例如:插入 SQL 查询或打印到 HTML 页面)时,是您修改它的时候。

$name = "O'Brien";

$sql = "SELECT * FROM people "
     . "WHERE lastname = '" . mysql_real_escape_string($name) . "'";

$html = "<div>Last Name: " . htmlentities($name, ENT_QUOTES) . "</div>";

您永远不想将 htmlentities 编码的字符串存储在您的数据库中。当您想要生成 CSV 或 PDF 或 不是 HTML 的任何内容时会发生什么?

保持数据干净,只在当前的特定上下文中转义。

关于PHP & mySQL : When exactly to use htmlentities?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2077576/

htmlentitiesampstrongsectionphpmysql

有关PHP & mySQL : When exactly to use htmlentities?的更多相关文章

  1. ruby-on-rails - rails : "missing partial" when calling 'render' in RSpec test - 2

    我正在尝试测试是否存在表单。我是Rails新手。我的new.html.erb_spec.rb文件的内容是:require'spec_helper'describe"messages/new.html.erb"doit"shouldrendertheform"dorender'/messages/new.html.erb'reponse.shouldhave_form_putting_to(@message)with_submit_buttonendendView本身,new.html.erb,有代码:当我运行rspec时,它失败了:1)messages/new.html.erbshou

  2. ruby-on-rails - 由于 "wkhtmltopdf",PDFKIT 显然无法正常工作 - 2

    我在从html页面生成PDF时遇到问题。我正在使用PDFkit。在安装它的过程中,我注意到我需要wkhtmltopdf。所以我也安装了它。我做了PDFkit的文档所说的一切......现在我在尝试加载PDF时遇到了这个错误。这里是错误:commandfailed:"/usr/local/bin/wkhtmltopdf""--margin-right""0.75in""--page-size""Letter""--margin-top""0.75in""--margin-bottom""0.75in""--encoding""UTF-8""--margin-left""0.75in""-

  3. ruby-on-rails - 'compass watch' 是如何工作的/它是如何与 rails 一起使用的 - 2

    我在我的项目目录中完成了compasscreate.和compassinitrails。几个问题:我已将我的.sass文件放在public/stylesheets中。这是放置它们的正确位置吗?当我运行compasswatch时,它不会自动编译这些.sass文件。我必须手动指定文件:compasswatchpublic/stylesheets/myfile.sass等。如何让它自动运行?文件ie.css、print.css和screen.css已放在stylesheets/compiled。如何在编译后不让它们重新出现的情况下删除它们?我自己编译的.sass文件编译成compiled/t

  4. ruby-on-rails - 如何从 format.xml 中删除 <hash></hash> - 2

    我有一个对象has_many应呈现为xml的子对象。这不是问题。我的问题是我创建了一个Hash包含此数据,就像解析器需要它一样。但是rails自动将整个文件包含在.........我需要摆脱type="array"和我该如何处理?我没有在文档中找到任何内容。 最佳答案 我遇到了同样的问题;这是我的XML:我在用这个:entries.to_xml将散列数据转换为XML,但这会将条目的数据包装到中所以我修改了:entries.to_xml(root:"Contacts")但这仍然将转换后的XML包装在“联系人”中,将我的XML代码修改为

  5. ruby - 检查 "command"的输出应该包含 NilClass 的意外崩溃 - 2

    为了将Cucumber用于命令行脚本,我按照提供的说明安装了arubagem。它在我的Gemfile中,我可以验证是否安装了正确的版本并且我已经包含了require'aruba/cucumber'在'features/env.rb'中为了确保它能正常工作,我写了以下场景:@announceScenario:Testingcucumber/arubaGivenablankslateThentheoutputfrom"ls-la"shouldcontain"drw"假设事情应该失败。它确实失败了,但失败的原因是错误的:@announceScenario:Testingcucumber/ar

  6. ruby-on-rails - Rails 3.2.1 中 ActionMailer 中的未定义方法 'default_content_type=' - 2

    我在我的项目中添加了一个系统来重置用户密码并通过电子邮件将密码发送给他,以防他忘记密码。昨天它运行良好(当我实现它时)。当我今天尝试启动服务器时,出现以下错误。=>BootingWEBrick=>Rails3.2.1applicationstartingindevelopmentonhttp://0.0.0.0:3000=>Callwith-dtodetach=>Ctrl-CtoshutdownserverExiting/Users/vinayshenoy/.rvm/gems/ruby-1.9.3-p0/gems/actionmailer-3.2.1/lib/action_mailer

  7. ruby-on-rails - 如何优雅地重启 thin + nginx? - 2

    我的瘦服务器配置了nginx,我的ROR应用程序正在它们上运行。在我发布代码更新时运行thinrestart会给我的应用程序带来一些停机时间。我试图弄清楚如何优雅地重启正在运行的Thin实例,但找不到好的解决方案。有没有人能做到这一点? 最佳答案 #Restartjustthethinserverdescribedbythatconfigsudothin-C/etc/thin/mysite.ymlrestartNginx将继续运行并代理请求。如果您将Nginx设置为使用多个上游服务器,例如server{listen80;server

  8. ruby - 在 jRuby 中使用 'fork' 生成进程的替代方案? - 2

    在MRIRuby中我可以这样做:deftransferinternal_server=self.init_serverpid=forkdointernal_server.runend#Maketheserverprocessrunindependently.Process.detach(pid)internal_client=self.init_client#Dootherstuffwithconnectingtointernal_server...internal_client.post('somedata')ensure#KillserverProcess.kill('KILL',

  9. ruby - 主要 :Object when running build from sublime 的未定义方法 `require_relative' - 2

    我已经从我的命令行中获得了一切,所以我可以运行rubymyfile并且它可以正常工作。但是当我尝试从sublime中运行它时,我得到了undefinedmethod`require_relative'formain:Object有人知道我的sublime设置中缺少什么吗?我正在使用OSX并安装了rvm。 最佳答案 或者,您可以只使用“require”,它应该可以正常工作。我认为“require_relative”仅适用于ruby​​1.9+ 关于ruby-主要:Objectwhenrun

  10. ruby - 无法让 RSpec 工作—— 'require' : cannot load such file - 2

    我花了三天的时间用头撞墙,试图弄清楚为什么简单的“rake”不能通过我的规范文件。如果您遇到这种情况:任何文件夹路径中都不要有空格!。严重地。事实上,从现在开始,您命名的任何内容都没有空格。这是我的控制台输出:(在/Users/*****/Desktop/LearningRuby/learn_ruby)$rake/Users/*******/Desktop/LearningRuby/learn_ruby/00_hello/hello_spec.rb:116:in`require':cannotloadsuchfile--hello(LoadError) 最佳

随机推荐