問題タブ [input-sanitization]

関数パラメーターをサニタイズするにはどうすればよいですか? example.com/controller/function/parameter のような URL があり、そのパラメーターはデータベースからデータを取得するために使用されます。

特定の機能がありますか、それとも使用する必要がありますmysql_real_escape_stringか?

MySQL多言語utf8データベースの全文検索でpreg_replace使用する検索フォーム入力のphp関数で使用するための正規表現が必要です。SQLでphpfilter_varを使用することを検討しFILTER_SANITIZE_STRINGましたが、最終的にはpreg_replace次のようになりました。

これらの機能が欲しい:

1. スペースを保持し、連続する場合は 1 つだけ (シリアル スペース)
2. 二重引用符を保持し、複数の場合は1つだけ続けます（で使用できるようphraseにIN BOOLEAN MODE）
3. -& +& '~' を保持し、連続する場合は 1 つだけ
4. 多言語にしたいので、Unicode (utf8) 文字も考慮する必要があります
5. アクセントを考慮する必要はありません。

これは私がやったことです：

"しかし、出力は引用符（ ）とマイナス（ ）のように私を満足させません-。検索ボックスで使用する安全なクエリ文字列を作成するにはどうすればよいですか?

を使用するよりも良い方法はありpreg_replaceますか?

Railsコントローラーでこれをかなりの回数行ってきたので、（可能であれば）より良い書き方を見つけたいと思っています。基本的に、いくつかのオプションへの入力を検証し、入力がどのオプションにも一致しない場合はデフォルト値にフォールバックしています。

私のプロジェクト (Java/Play フレームワーク) では、応答がエラー コードである場合に Web サービスからの応答をチェックするエラー処理ルーティングがあり、ユーザー入力の問題を示す対応するエラー メッセージが表示され、サービスがチェックします。ユーザー入力の有効性。

ユーザーが % 記号を入力すると、エラー表示ロジックが使用するため、このロジックが壊れます。

これは、% を見つけるメッセージ文字列のイントロに messageArgs を補間します。また、messageArgs に % が含まれている場合は、例外が発生します。

メッセージを表示する前に、ユーザー入力から % をサニタイズ、エスケープ、または削除する必要があります。

message: 要求された電子メール アドレス %s は無効です messageArgs: orlyb%@gmail.com

Javaでこれを最も簡単で最短の方法で行う方法に関するアドバイスはありますか?

エラーログの一部です

ありがとう！

私は個人的な C++ プロジェクトに取り組んでおり、機能の 1 つは連絡先情報を保存することです。住所に関しては、州を省略形で保存したいと考えています。

州の完全な名前の文字列入力を受け入れ、2 文字の州の略語の文字列値を返すメソッドに取り組んでいます。そうは言っても、これを行うための最良の方法について何人かの友人とブレインストーミングを行ってきました. 今のところ、「A」で始まる州は終了しています。しかし、他の 47 州に行く前に、この質問をしてブレインストーミングを広げたいと思いました。これを達成するための「より良い」またはより効率的な方法がある場合は? これまでの私の機能を見てください。

XSS と SQL インジェクションは、サニタイズされていないユーザー入力による 2 つの主なセキュリティ リスクです。

XSS は (WYSIWYG がない場合) htmlspecialchars() を使用して防止でき、SQL インジェクションはパラメーター化されたクエリとバインドされた変数を使用して防止できます。

これら 2 つの方法を使用することで、サニタイズされていないすべての入力を安全に使用できますか?

ユーザーが日付を選択できるJavaScriptの日付ピッカーを使用しています。ただし、データベースに入力する前に、投稿された日付データもサニタイズしたいと思います。ここにはサニタイズ フィルターが表示されません: http://us2.php.net/manual/en/filter.filters.sanitize.php

データベースに入力する前に日付をサニタイズする最良の方法は何ですか?

これは、投稿の元の値になります。

次に、データベース用に変換します。

ありがとう！