問題タブ [sanitization]

ユーザー入力（これは大きな段落になることもあります）を取得して、LaTeXドキュメントを生成したいと思います。\のすべてのインスタンスと、または\textbackslashのすべてのインスタンスを、{または}で置き換えるいくつかの単純な正規表現を検討しています。\}\{

これで十分だとは思えません。他に何をする必要がありますか？注：このために作成された特別なライブラリがある場合は、Pythonを使用しています。

明確にするために、LaTeX構文として解析されるものは望まない： 。$a$に置き換える必要があり\$a\$ます。

特定の文字列をサニタイズして、URLで安全に使用できるようにし（ポストスラッグのように）、ファイル名としても安全に使用できるようにする関数を考え出そうとしています。たとえば、誰かがファイルをアップロードするとき、名前からすべての危険な文字を確実に削除したいと思います。

これまでのところ、この問題を解決し、外部UTF-8データも許可する次の関数を考え出しました。

誰かが私がこれに対して実行できるトリッキーなサンプルデータを持っていますか？または悪い名前からアプリを保護するためのより良い方法を知っていますか？

$ is-filenameは、tempvimファイルのようないくつかの追加文字を許可します

更新：有効な使用法が考えられなかったため、スター文字を削除しました

HTML Purifierを使用して、ユーザーが入力した文字列（人の名前を表す）が確実にサニタイズされるようにすることを検討しています。

HTMLタグ、スクリプト、マークアップなどを許可したくありません。英数字、通常の句読文字だけが必要です。

HTML Purifierで利用できるオプションの数は非常に多く、私が見る限り、ドキュメントには始まり/中間または終わりがないようです。

参照： http： //htmlpurifier.org/docs

文字列をサニタイズしてすべての悪いものを削除する方法を示す、HTMLPurifierの簡単なHelloWorldチュートリアルはオンラインにありますか。

ストリップタグの使用も検討しています。

• http://php.net/manual/en/function.strip-tags.php

またはPHPの組み込みデータサニタイズ

• http://us.php.net/manual/en/book.filter.php

MySQL Db の基本的な検証およびエスケープ機能を実行できるオープン ソース ライブラリまたはフレームワークを知っていますか。

私は次の行に沿って何かを想定しています：

等...

私が調べた - Zend_Db_Table (テーブルの説明を知っている) と - Zend_Db_Adaptor (TYPE に応じて値をエスケープ/サニタイズする方法を知っている)

ただし、サニタイズはできますが、更新/挿入の前に巧妙な検証を自動的に行うわけではありません

自分で作成するのではなく、この種の検証を実行するための優れた PHP ライブラリを知っている人はいますか?

私はこの種のものをたくさん想定しています：

(ps 私は eregi が非推奨であることを知っています - それは面倒なコードの単なる例です)

誰かがこのクラスを使用して、信頼できると思ったのだろうか?

http://www.phpclasses.org/package/3746-PHP-Remove-unsafe-tags-and-attributes-from-HTML-code.html

どうもありがとう！

以下を使用してお問い合わせフォームを送信し、iv セキュリティを調べたところ、メール機能の From: ビットを保護する必要があることがわかりました。これはハードコードされているため、スクリプトがスパムプルーフ/ハイジャック不可能であることを意味します。

いくつかの優れた PHP html (入力) サニタイザーは何ですか?

できれば、何かが組み込まれている場合は、それを希望します。

更新：

要求に従って、コメントを介して、入力はHTML を許可しないでください(そして明らかに XSS と SQL インジェクションなどを防ぎます)。

今日、ユーザー入力の処理に関する優れた質問と回答をいくつか読みました。現在、htmlspecialchars() を使用して作成/編集フォームにユーザー データを表示しています (ただし、準備された PDO ステートメントを介して生の入力をデータベースに受け入れています)。

私が知っている主な質問は、一般に表示される HTML をユーザーが送信できるようにするときに何をするかということです。明らかに htmlspecialchars() は、タグをエンコードしてコンテンツを無用にレンダリングするだけなので、もはや適切ではありません。

私のアプリケーションは現在、製品の説明のために管理者から HTML を受け入れています。これにより、悪意のある管理者が安全でない可能性のあるデータを公開ページに挿入できるようになります。

人々はこれにどのように対処しますか？

ユーザーがMarkdownで記事を書き、それをMySQLデータベースに保存して（将来編集するオプションを付けて）、他のユーザーに表示できるようにしたいと思います。

実際には、これはそれがどのように機能するかについての私の理解です：

入力

2. Markdown構文を使用したHTMLフォームを介したユーザー入力
3. $queryInput = mysql_real_escape_string($userInput);
4. サニタイズされた文字列をデータベースに挿入します

出力

1. データベースからのクエリフィールド
2. $output = Markdown($queryResult);
3. 画面$output

それですか？

PHP Markdownは、またはの必要性を排除しますhtmlspecialcharsかPure HTML？

ありがとう！

おはようございます、

コントローラのコードを次のようにしたいと思います。

私のsanitizeInputクラスでは、$string2への変更は$string1に適用されるようです。これを変更するにはどうすればよいですか？コントローラーをできるだけ読みやすくするために、クラス内で変更を加えることが望ましいです。

もちろん、2回インスタンス化できることはわかっていますが、可能であれば同じオブジェクトを使用したいと思います。

私のクラスがあれば素晴らしいでしょう：

• 一度インスタンス化して、
• 入力を設定し、
• それをmysql_escapeに伝え、__toStringを$string1に返します。
• $ string2だけを残して入力を設定し、mysql_escapeを実行して、__toStringstringを$string2に返します。

編集：これはコメントによって要求された私の完全なコードです：

お時間をいただきありがとうございます。

よろしく、
マリウス