問題タブ [input-sanitization]

ORM はある種の衛生技術を使用しているという印象を受けますが、よくわかりません。http://docs.doctrine-project.org/projects/doctrine-orm/en/latest/reference/security.htmlを見ましたが、この問題について明確ではありませんでした。

質問

安全に使用できますか

どこで POST は以前にサニタイズされていませんか、または Doctrine に送信する前に常に最初に値をサニタイズ/検証する必要がありますか?

参考のため

サニタイズを目的として、フォームで送信ボタンを押した後にこのコードが実行されるとします。

filter_input 関数が適用されていることを考慮すると、この場合 check_input($data) 関数は冗長ですか?

PHP の公式ドキュメントによると、ファイルのアップロードを処理するときは、ディレクトリ トラバーサルやその他の種類の攻撃に対してファイル名をサニタイズする必要があります。

それにもかかわらず、デフォルトでは、ファイル名は PHP スクリプトに到着した時点ですでにサニタイズされていることがわかりました。

私は、Apache が悪意のあるファイル名 filename="../file.png" を受け取ったという証拠を持っていますが、PHP スクリプトは代わりに $_FILES 変数でサニタイズされた名前を読み取ります。

Apache 入力の低レベル ダンプ:

PHP スクリプト

PHP 5.5 から 7.2 を実行している Apache モジュールと php-fpm の両方でこの動作が見つかりました。変数をスクリプトに渡す前に、PHP インタープリターがこのサニタイズを実行すると推測する必要があります。

だから、私の知らないうちに同意なしに私のためにサニテーションをしてくれたPHPに感謝します。ただし（これが私の質問です）、この機能は文書化されていないことがわかっているため、サニタイズ基準/正規表現/アルゴリズムを知りたいので、それが私のニーズを満たしていることを確認してください。