問題タブ [sanitize]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票する
2 に答える
851 参照

php - php-RFI攻撃を防ぐために、正規表現を使用してQUERY_STRINGをフィルター/サニタイズします

したいのですREGEXフィルター/ matchは、リモートファイルインクルードに使用QUERY_STRINGできるtheesephp|data|ftp|http|..|/|://やその他の文字などのパラメータが含まれています。

いつもありがとうございました:

PS:これはhtaccessで行う方が良いと思いますが、今は正規表現が必要です。

0 投票する
1 に答える
2806 参照

json - RailsからJSONをサニタイズする最良の方法

RoR 3は、ERBテンプレートを自動的にサニタイズします(正しく実行された場合)。ただし、アプリケーション層にのみRoRを使用し、プレゼンテーションにjavascriptを使用している小さなプロジェクトがあります。したがって、典型的なリクエストは、Railsルートへのajax呼び出しであり、返されたjsonをレンダリングします。問題は、現在、jsを挿入し、タイトル付きの新しい製品を作成することが可能で<script>alert('hello')</script>あり、これが次のリクエストでそのまま返され、ブラウザーがスクリプトを適切に解釈することです。

するのが最善ですか

  1. ポストの入力をサニタイズしますか?
  2. サーバー上のjson応答をサニタイズしますか?(to_jsonをオーバーライドしますか?)
  3. クライアントのjson応答をサニタイズしますか?

ご意見をいただければ幸いです。

0 投票する
1 に答える
388 参照

html - Cakephpのセキュリティとビューでのサニタイズ

コントローラーからビューに渡されるデータがたくさんあります。AppController beforeRenderのように、コントローラーから渡されるすべてのデータを取得し、そのデータに対してサニタイズ-> htmlを実行する簡単な方法はありますか?

0 投票する
1 に答える
581 参照

ruby-on-rails-3 - サニタイズジェム機能を備えたRails3の質問

私は比較的レールの初心者で、サニタイズの宝石について質問があります。インストールと使用は簡単ですが、何らかの理由で独自の要素配列を選択すると、機能しません。それは私が承認しようとしている要素をまだ消毒しています。これが私のコードです:

しかし、結果として次のように表示されます。

この単純な形式が機能しない理由についてのポインタに感謝します!

0 投票する
7 に答える
1820 参照

php - SQL インジェクション、引用符、および PHP

私は今かなり混乱しています。もしあなたが私のために物事を片付けてくれるなら、知りたいです.

最新の Anon/Lulsec 攻撃の後、私は自分の php/mysql セキュリティに疑問を抱いていました。

そこで、PHP と Mysql の両方を保護するにはどうすればよいかを考えました。

質問:引用符に関して、PHP と Mysql を処理するためのベスト プラクティスは何ですか?

  • 特にフォームでは、html を保護するためにある種の htmlspecialchars が必要ですよね?
  • PHPはフォームでまったく悪用できますか? 必要な保護はありますか?
  • クエリの直前にreal_escape_string を使用する必要がありますか? PHP内ですでに使用するのは間違っている/悪いでしょうか(sanitize_post関数を参照)?

現在、私は次の機能を使用しています。この関数は、すべての $_POST および $_GET 変数を「サニタイズ」します。これは「安全」ですか?

MySQL 5.1.54 で PHP 5.3.5 を使用しています。

ありがとう。

0 投票する
1 に答える
550 参照

ruby-on-rails - ビューファイルで「サニタイズ」メソッドを使用するのはいつですか?

Ruby on Rails 3.0.9 を使用していますが、セキュリティ上の理由から、このメソッドをいつ使用してもよいか、使用すべきか、使用しなければならないかを知りたいです。sanitize(...)

使用例は次のとおりです。

0 投票する
2 に答える
308 参照

php - 一部の文字例外を含む PHP のサニタイズおよび検証フォーム

Php Sanitize and Validate Filters で使用していますが、いくつかのルールを追加するのに問題があります。PHP の基本的な知識があるので、この質問は簡単だと思います。

最小および最大文字数 (14 ~ 15) を追加する必要があり、この文字 ( - またはスペース) を受け入れたいです。正確なシーケンスは 0000-0000-0000 です (最後の 4 桁も 5

ありがとう

0 投票する
2 に答える
5093 参照

ruby-on-rails - Railsはサニタイズし、デフォルトで許可されているタグを削除します

サニタイズを使用するにはどうすればよいですか?ただし、デフォルトで有効になっているタグの一部を許可しないように指示しますか? ドキュメントには、これを私の中に入れることができると記載されていますapplication.rb

代わりに、これをサニタイズの引数として渡すことはできますか?

0 投票する
2 に答える
417 参照

php - PHP $_POST ユーザー名のサニテーション - どうやってこれがうまくいかないのか

SOとすべてをグーグルで検索しましたが、答えがわかりません。

以下の PHP コードでプラス記号が使用できるのはなぜですか。

(ユーザーが 1234+ と入力すると、有効なように続行します????)。

私は通常、バイパスを見つけましたが、本当に必要ですか。

この種の検証を使用して、必要に応じて特別な文字を $aValid に追加したいと思います。

MySQL に挿入する前に、mysql_real_escape_string または準備済みステートメントを実行します。

+ 記号がコードの最初の部分で問題ない理由。私の意見では、それは本当にすべきではありません。

最新の更新 - PHP の if 句 (ホワイトリストで許可されている) に到達する前に + 記号がスペースになるように、A 側が Content-Type を変更したことを理解するために、低レベルのデバッグ HTTP ヘッダーを数時間必要としました...

なんて-それがあなたに起こらないことを願っています-経験:)

自分自身へのリマインダー: jQuery がこの検証プロセスの主要なプレーヤーである場合は、言及する必要があります...

0 投票する
3 に答える
611 参照

php - php - preg_replace_callback と ord() を使用してユーザー入力をクリーンアップしますか?

フォーラム スタイルのテキスト ボックスがあり、ユーザー入力をサニタイズして xss やコードの挿入を防止したいと考えています。私は htmlentities が使用されているのを見てきましたが、他の人は &,#,%,: 文字もエンコードする必要があると言っており、見れば見るほど潜在的に危険な文字がポップアップするようです. ^a-zA-z0-9 以外にも有効なテキスト オプションが多数あるため、ホワイトリスト登録には問題があります。私はこのコードを思いつきました。攻撃を阻止し、安全を確保するために機能しますか? それを使用しない理由、またはより良い方法はありますか?

編集: _ _ _ _ _ _ _ __ _ _ __ _ _ ____ _ _ _ もちろん間違っている可能性もありますが、htmlentities は & < > " (および ENT_QUOTES がオンになっている場合は ' のみ) を置き換えることを理解しています。これはおそらく、ほとんどの攻撃を阻止するのに十分です (率直に言って、トラフィックの少ないサイトにはおそらく十分すぎるでしょう)。 . しかし、細部への執拗な注意の中で、私はさらに掘り下げました. 私が持っている本は、「六角攻撃をシャットダウンする」ために # と % もエンコードするように警告しています.英数字以外のすべての文字を変換することを検討するようになりました. htmlentities がこれをすでに実行している場合は、素晴らしいことですが、そうではないようです. これは、Firefox で [ソースを表示] をクリックした後にコピーした、実行したコードの結果です.

オリジナル (テストするランダムな文字): 5: gjla#''*&$!jl:4

preg_replace_callback: <b>5:</b>gjla<hi>#''*&$!jl:4

htmlentities (w/ ENT_QUOTES): <b>5:</b>gjla<hi>#''*&$!jl:4

htmlentities は、次のような他の文字をエンコードしていないようです: テキストの壁で申し訳ありません。これは私が妄想しているだけですか?

編集#2:_ _ _ _ _ _ _ _