問題タブ [sanitization]

この正規表現はAtwoodからのものであり、hrefとタイトル以外のアンカータグを除外するために使用されます。

特に一致する追加の属性を許可する必要があります：target ="_blank"。したがって、次のURLを許可する必要があります。

パターンを次のように変更してみました。

明らかに、私は正規表現をよく知りません。空白のターゲットを許可し、他のターゲットを許可しないように、パターンをどのように調整する必要がありますか？

登録 URL をメールでクライアントに送信します。一部の電子メール クライアントは、URL を

ユーザーがメールを自分自身に転送し、その時点でメールクライアントが元のメールを再フォーマットするときに発生する可能性があると思います（おそらく）

例えば

https://my.app.com/login.aspx?param=var

なる

https://my.app.com/login.aspx?param=var%20%3Chttps://my.app.com/login.aspx?param=var%3E

System.Web.HttpRequestValidationException: 潜在的に危険な Request.QueryString 値が検出されました

ユーザーが元の形式の URL にリダイレクトされるように、コードのどこでこれらのインスタンスをインターセプトし、URL をサニタイズする必要がありますか?

グローバル.asax? Page_Init? HttpHandler? パイプライン？

は

悪意のあるSQLインジェクションやその他の種類の攻撃を防ぐのに十分です。そうでない場合は、他に何を使用する必要がありますか？

PSユーザーが英数字、スペース、記号文字を含むユーザー名とパスワードを選択できるようにしたい（mysqlステートメントで使用される引用符やアスタリスクなどを除く）。

私は新しいWebアプリ、LAMP環境を構築しています...すべてのテキストベースのフィールド（HTMLフィールドではなく、電話、名前）のユーザーの入力検証（もちろん+準備されたstmt）に対してpreg_matchが信頼できるかどうか疑問に思っています、姓など）。

たとえば、従来の「メール フィールド」の場合、入力を次のようにチェックすると、次のようになります。

SQL/XXS インジェクションに対して安らかに眠ることができますか?

私は正規表現を可能な限り制限的に書いています。

編集：すでに述べたように、私はすでに準備済みのステートメントを使用しています。この動作はテキストベースのフィールド（電話、電子メール、名前、姓など）専用であるため、HTMLを含めることはできません（HTMLフィールドの場合） 、私は HTMLpurifier を使用します)。

実際、私の使命は、regexp-white-list と一致する場合にのみ入力値を渡すことです。それ以外の場合は、ユーザーに戻します。

ps :: mysql_real_escape_strings のないものを探しています。おそらくプロジェクトは次の将来に Postgresql に切り替わるので、クロスデータベースの検証方法が必要です ;)

ユーザー入力（これは大きな段落になることもあります）を取得して、LaTeXドキュメントを生成したいと思います。\のすべてのインスタンスと、または\textbackslashのすべてのインスタンスを、{または}で置き換えるいくつかの単純な正規表現を検討しています。\}\{

これで十分だとは思えません。他に何をする必要がありますか？注：このために作成された特別なライブラリがある場合は、Pythonを使用しています。

明確にするために、LaTeX構文として解析されるものは望まない： 。$a$に置き換える必要があり\$a\$ます。

特定の文字列をサニタイズして、URLで安全に使用できるようにし（ポストスラッグのように）、ファイル名としても安全に使用できるようにする関数を考え出そうとしています。たとえば、誰かがファイルをアップロードするとき、名前からすべての危険な文字を確実に削除したいと思います。

これまでのところ、この問題を解決し、外部UTF-8データも許可する次の関数を考え出しました。

誰かが私がこれに対して実行できるトリッキーなサンプルデータを持っていますか？または悪い名前からアプリを保護するためのより良い方法を知っていますか？

$ is-filenameは、tempvimファイルのようないくつかの追加文字を許可します

更新：有効な使用法が考えられなかったため、スター文字を削除しました

HTML Purifierを使用して、ユーザーが入力した文字列（人の名前を表す）が確実にサニタイズされるようにすることを検討しています。

HTMLタグ、スクリプト、マークアップなどを許可したくありません。英数字、通常の句読文字だけが必要です。

HTML Purifierで利用できるオプションの数は非常に多く、私が見る限り、ドキュメントには始まり/中間または終わりがないようです。

参照： http： //htmlpurifier.org/docs

文字列をサニタイズしてすべての悪いものを削除する方法を示す、HTMLPurifierの簡単なHelloWorldチュートリアルはオンラインにありますか。

ストリップタグの使用も検討しています。

• http://php.net/manual/en/function.strip-tags.php

またはPHPの組み込みデータサニタイズ

• http://us.php.net/manual/en/book.filter.php

MySQL Db の基本的な検証およびエスケープ機能を実行できるオープン ソース ライブラリまたはフレームワークを知っていますか。

私は次の行に沿って何かを想定しています：

等...

私が調べた - Zend_Db_Table (テーブルの説明を知っている) と - Zend_Db_Adaptor (TYPE に応じて値をエスケープ/サニタイズする方法を知っている)

ただし、サニタイズはできますが、更新/挿入の前に巧妙な検証を自動的に行うわけではありません

自分で作成するのではなく、この種の検証を実行するための優れた PHP ライブラリを知っている人はいますか?

私はこの種のものをたくさん想定しています：

(ps 私は eregi が非推奨であることを知っています - それは面倒なコードの単なる例です)

誰かがこのクラスを使用して、信頼できると思ったのだろうか?

http://www.phpclasses.org/package/3746-PHP-Remove-unsafe-tags-and-attributes-from-HTML-code.html

どうもありがとう！

以下を使用してお問い合わせフォームを送信し、iv セキュリティを調べたところ、メール機能の From: ビットを保護する必要があることがわかりました。これはハードコードされているため、スクリプトがスパムプルーフ/ハイジャック不可能であることを意味します。