問題タブ [esapi]

I've been trying to find the PHP version of ESAPI for quite a while now but all I can find is a ton of documentation and interfaces. I couldn't find any functioning code at the repository either. Do any finished classes even exist?

encodeForHtml()（CF10の新機能）とhtmlEditFormat()、どのように違いますか？

以前の質問encodeForHtml() と htmlEditFormat() では、どのように異なるのか、新しいencodeForHtml()&関数はそれぞれ&encodeForURL()よりも優れているようです。 htmlEditFormat()urlFormat()

既存のものよりも esapi ベースの encodeForXXX 関数を使用する必要がありますか? 2 つの古い関数は非推奨にする必要がありますか?

ありがとうございました。

API owasps ESAPI.validator（）。isValidFileContent（）のネガティブシナリオをテストする必要があります

.exeファイルと.iniファイルのバイトを渡そうとしましたが、テストが終了したとき、つまり、戻り型がtrueであり、有効なファイルコンテンツであることを意味します。

無効なファイルと見なされるものは何ですか？

ESAPI.propertiesに構成が必要ですか？

教えてください。私は検証にESAPIを使用しており、nをすべてエスケープしていますが、この混乱があります。あなたの経験を共有してください。

プロジェクトで OWASP ESAPI を使用しようとしています。しかし、問題は owasp のドキュメントが複雑すぎることです。esapiのバリデーションを試しているのですが、エラーが出なくても結果が得られません。

3回実行しようとした場合の結果は次のとおりです。

ご覧のとおり、エラーはなく、プロパティは適切にロードされています。私の問題は、なぜそこで止まったのかです。「connect 2」が印刷されないのはなぜですか? また、instance.isValidInput の結果も出力されないのはなぜですか?

XML データ インジェクションのために、以下のコードを修正する必要があります。

修正方法は？誰にも何か提案はありますか。

CF（9.0.2 with esapi-2.0_rc10.jar）の場合：

出力：

y、zおよびjは有効です。

x実際に失敗します： "Uncaught SyntaxError：Unexpected token h"

encodeForJavaScript()ESAPIでは、このような状況で使用するのに最適で安全な関数であると考えました。なぜここで失敗するのですか？

副次的な質問ですがserializeJSON()、データがユーザー入力で動的に構築されている場合でもJSON.parse、JSON文字列に関数がないため、実際に使用する必要がないということですか？

ESAPIを使用してWebフォームの安全でない入力テキストをチェックするにはどうすればよいですか？私のアプリケーションはstruts1.Xを使用して構築されているため、検証をActionsクラスに追加する必要があると思います。おすすめのサンプル/チュートリアルはありますか？ありがとう。

履歴書のコンテンツをテキストとして受け入れ、コンテンツを処理する必要があります。ESAPI.validator().isValidInput処理する前に、履歴書の内容を検証して、悪意のあるコードが含まれていないことを確認するために使用することを考えました。のパラメータの1つはisValidInput、入力に対して検証される正規表現です。履歴書の内容の正規表現を書くのを手伝ってください。