問題タブ [sanitization]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - ファイル名の文字列サニタイザー
文字列をサニタイズしてファイル名に使用できるようにするphp関数を探しています。便利なものを知っている人はいますか?
(書けるけど、キャラの見落としが心配!)
編集: Windows NTFS ファイルシステムにファイルを保存する場合。
asp.net - ASP.NET MembershipProviderコントロールからの入力をサニタイズする必要がありますか?
CreateUserWizardコントロール、Loginコントロールなど、さまざまなASP.NETコントロールをすぐに使用しています。カスタムコントロールの場合、入力が期待値に準拠していることを確認して、入力をサニタイズしました。ただし、これはCreateUserWizardコントロールなどのコントロールに必要ですか、それとも内部で処理されますか?これらのコントロールに追加のサーバー側検証を提供する必要がありますか?そうであれば、「CreateUserWizardControl_CreatingUser」イベントでそれを行うのが最善でしょうか?ありがとう
asp.net - パスワード入力のサニタイズは必要ですか?
データが特定のフィールドに対して有効であることを確認して、入力されたデータをサニタイズしようとしています (たとえば、名前に特殊文字/数字などを含めることはできません)。パスワード欄に。パスワードは単純にハッシュ化されているため、サニタイズを気にする必要さえありますか? ユーザーがパスワードのテキストボックスを介して悪意のあるものを挿入した場合、疑わしいものをチェックする必要がありますか? 知る限り、一部のユーザーは (すべきです!) '< >' などの特殊文字を使用している可能性があり、通常は潜在的な攻撃アラートをトリガーします。パスワードフィールドを無害のままにしておくべきですか? ユーザーはパスワードにあらゆる種類の文字を使用する必要があると感じているため、パスワードの入力を制限することは私にとって最後の手段です。
ありがとう
php - URL の「十分なサニタイズ」とは
URLは
- MySQL データベースに保存
- ユーザーのプロフィールに写真を表示するために使用されます
strip_tags() と mysql_real_escape_string() で十分でしょうか?
php - PHPMarkdownXSSサニタイザー
PHPMarkdown出力のXSS脆弱性をフィルタリングするのに役立つ単純なPHPライブラリを探しています。IE PHP Markdownは、次のようなものを解析します。
私はいくつかの読書をしてきました、そしてここで私がこの主題に関して見つけた最高のものはこの質問でした。
HTML Purifierは最良の(ほぼ唯一の)ソリューションのように見えますが、もっと一般的なものがあるかどうか疑問に思っていましたか?HTML Purifierは、特に私のニーズに対しては少し堅牢であり、構成するのも面倒なようですが、そうするとうまくいくように見えます。
少し堅牢で構成可能ではないかもしれないが、それでもしっかりした仕事をしているものは他にありますか?それとも、自分のニーズに合わせてHTML Purifierを掘り下げて構成しようとすべきですか?
明確にするために編集:私は角を切るなどのことを考えていません。HTML Purifierは、多くのきめ細かい制御を提供するだけであり、単純な小さなプロジェクトの場合、何も使用することもできませんが、多くの制御は必要ありません。これは、私がより単純なものや堅牢性の低いものを求めたときに生まれた場所です。
また、最後の注意点として、私は使用する提案などを探していません。同様の方法でサニタイズすることにより、PHPMarkdownExtraに埋め込まれたHTMLをすでに禁止しています。PHPMarkdownOUTPUTのXSS脆弱性を防ぐ方法を探しています。htmlspecialchars()
strip_tags()
ありがとう。
cakephp - CakePHPでサニタイズを行うタイミング
クックブックから読みました(4.2節)
CakePHPは、生のSQLの代わりにCakePHPのORMメソッド(find()やsave()など)と適切な配列表記(つまり、array('field' => $ value))を使用する場合、SQLインジェクションから既に保護されています。XSSに対するサニタイズの場合、一般に、生のHTMLを変更せずにデータベースに保存し、出力/表示時にサニタイズする方が適切です。
したがって、find()やsave()などのメソッドに制限する場合、SQLに対してユーザーデータを手動でサニタイズする必要はありませんか?特に、$ this->dataからではなく$_POSTから直接データを取得する場合、これは本当ですか?言い換えると、$ this-> dataを使用してfind()クエリを実行するとします。次に、CakePHPは、配列$ this-> dataを書き込むとき、またはfind()のクエリを書き込むときに、SQLに対してサニタイズしますか?
2番目の質問は、表示するデータをサニタイズすることです。Sanitize :: htmlはべき等ですか?それで、beforeSave()メソッドでそれを使用できますか、それとも、再度適用されて新しい結果が得られるため、2回目に保存すると壊れますか?
ruby-on-rails - vimeo 埋め込みコードをサニタイズする
これがvimeoのURLコードです。
これはRailsドキュメントの例です
ビデオを表示したいだけで、高さ、幅、タイトルなどはありません。過去20分間変更しようとしましたが、うまくいきませんでした。
助言がありますか?
java - モデル レベルで HTML を含む文字列フィールドをサニタイズするにはどうすればよいですか?
Spring、JPA (Hibernate)、および Java 検証フレームワーク (Hibernate Validator) を使用するアプリがあります。HTML を含めることが許可されているドメイン モデルのフィールドに注釈を付け、コミット時に自動的にサニタイズできるようにしたいと考えています。これを行う賢い方法を知っている人はいますか?
検証フレームワークを使用してみましたが、これは検証時のフィールドの値の変更をサポートしていません。ハッキングして何かを機能させることはできますが、よりクリーンなソリューションを望んでいます。
php - HTMLと句読点を組み合わせてユーザー入力を処理するにはどうすればよいですか?
HTMLとテキストが混在するフォームフィールドがあります。ユーザーが基本的なHTMLと句読点を使用できるようにしたいと思います。
現在、mysql_real_escape_stringとpreg_replaceを使用してデータをサニタイズし、データベースに挿入しています。私の理解では、preg_replaceは、許可された文字のホワイトリストにない文字を削除する最良の方法であり、mysql_real_escape_stringはSQLインジェクションから保護します。
ただし、ハッシュ文字を使用すると壊れ続けます。
私の質問は次のとおりです。
1)これを行うためのより効率的な方法はありますか?
2)これが最善の方法である場合、私は何を間違っていますか?
許可する必要のある文字は次のとおりです。すべての英数字と:
?!@#$%&()-。、:; '"<> / + =
ありがとう!