問題タブ [sanitization]

ファイルを別の形式に変換して保存するルーチンがあります。元のデータファイルには番号が付けられていましたが、私のルーチンでは、元のファイルにある内部名に基づいてファイル名が出力されます。

ディレクトリ全体でバッチ実行しようとしましたが、内部名にスラッシュが含まれているファイルにヒットするまではうまくいきました。おっとっと！そして、ここでそれを行うと、他のファイルでも簡単に行うことができます. ファイル名として安全に使用できるように、文字列をサニタイズして無効なシンボルを削除する RTL (または WinAPI) ルーチンがどこかにありますか?

PHP ページを Linux コマンド ライン プログラム ping に接続したいと考えています。

衛生上の問題があることを認識しています。すべてを処理できる組み込みのライブラリまたは関数はありますか、それとも正規表現パーサーに頼る必要がありますか?

今日はerlangシェルで遊んでいて、次のようなコマンドインジェクションができることに気づきました。

get_chars関数の入力をサニタイズして、これを不可能にする方法はありますか？

ユーザーがブログ投稿を作成できる Web サイトがあります。バックリストのタグがいくつかありますが、ほとんどの標準の HTML タグが受け入れられます。

ただし、ページの表示方法に問題があります。

HTML を独自の div にラップしたままにします。

最終的には、ユーザーからの HTML をメイン サイトのスタイルシートとは別に保持して、スタイルの継承や、HTML が表示されている元のサイトのレイアウトの台無しを回避できるようにしたいと考えています。

結局のところ、div に適用して、そのコンテンツをサイトの残りの部分から隔離することはできますか?

ありがとう！

<a>href 属性のみを含む開始タグに一致する正規表現を作成したいと思います。

上記と一致する必要がありますが、他の属性が追加された場合は一致しません。

通常、これは非常に簡単ですが、HTML はエンコードされています。したがって、上記の両方をエンコードするには、これと一致する正規表現が必要です。

しかし、これと一致しません:

エンコードされたすべての HTML が「有効」であると仮定し (奇妙で不正な形式の XSS トリックがない)、HTML サニタイズのベスト プラクティスに従う必要はないと仮定します。上記の A) に一致するが B) には一致しない最も単純な正規表現が必要なだけです。

ありがとう！

XmlTextWriter一部のデータをシリアル化して永続化するために使用しています。シリアル化するフィールドのいくつかは、ユーザー入力 (ユーザー名など) に基づいています。今日、私は のWriteElementString方法を使用しXmlTextWriterます。

私の質問は: の 2 番目のパラメーターWriteElementStringは、書き込まれるテキスト値です。書く前にサニタイズするにはどうすればよいですか？

コード例:

変数inputUserNameとinputEmailはユーザー入力であり、書き込む前にそれらをサニタイズ/エスケープしたいと思います。

これを達成するための最良の方法は何ですか？

誰もが常にユーザー データについて心配していることを考えると (当然のことですが)、取得した外部配列を単純にループし、mysql_real_escape_string() を適用するだけで十分でしょうか。

これが悪い考えなのか、興味があります。

何かのようなもの：

これにより、すべてのデータがデータベースで安全に使用できるようになります。しかし、このようにすることの短所は何ですか？