問題タブ [sanitize]

私は現在、このプロセスを使用して、ユーザーが入力したコメントをサニタイズ/フィルターします->
これはスラッシュを削除するために使用されます...そして

次に、コメントはこの関数を通過してデータをサニタイズします...

この後、プリペアドステートメントを使用してデータベースに直接入ります。

これが十分に安全かどうか、または他のより良い選択肢があるかどうかを知りたかっただけです...ありがとう

ビューでActionViewヘルパーメソッドを使用して出力をサニタイズできることは知ってstrip_tagsいますが、データベースに永続化する前にユーザー入力をサニタイズするための最良の方法は何ですか？コントローラーにビューヘルパーを含めて、strip_tagsメソッドを再利用する方法を見つける必要がありますか？レールには、このようなことを行うために世界中で利用できるものがあると思いました。

私は現在、次のコードを使用して、文字列を保存する前に文字列をサニタイズしています。

私の問題は、文字列がすでに次のようにサニタイズされている場合に発生します。

サニタイズされた文字列は次のようになります。

<を置換によって<>に変換するだけでサニタイズできますか？>

Ruby gem sanitize をインストールしようとしています。私はすでにnokogiriをインストールしました：

しかし、サニタイズをインストールしようとすると、次のエラーが発生します。

Mavenを使用してビルドおよびリリースされたアーティファクトがあります。アーティファクトの元のpom.xmlには、通常のプロジェクト情報（artifactId、名前など）と依存関係が含まれています。それはいいです。ただし、pom.xmlには、SCM URL、開発者の名前、親アーティファクトなどの個人情報も含まれています。

依存関係などの技術的な関連情報を破壊することなく、アーティファクトを公開できるように、サニタイズされたpom.xmlを生成するようにMavenに指示する方法はありますか？

SCM URLも、開発者のリストも、親pomの存在（DepMgmt定義やその他のメタスタッフにのみ使用される）も、アーティファクトのユーザーにはあまり関係がないので、私はリリースされたpom.xml

Archivaなどのリポジトリマネージャーとアーティファクトのjarファイル内にパッケージ化されたpom.xmlには、これらの情報が含まれています。Mavenはすべてをコピーしているだけだと思います。

要約する：

私は持っています：

が欲しいです：

$_GET および $_POST から変数の値をフィルタリングするには、trim()、strip_tags()、および addslashes() の組み合わせで十分かどうか疑問に思っています。

サイト全体ですべてのユーザー入力をサニタイズするためにこの関数を実行していますが、パフォーマンスが非常に高くなる可能性があるのではないかと心配しています...

あなたの洞察が必要です..ありがとう

テキスト入力を受け入れるフォームがあります。＆や;などの文字を受け入れられるようにしたいと思います。および>および<。これらは、ユーザーが提供するデータに役立つ文字です。たとえば、ユーザーに次のように言ってもらいたい

アンパサンド（＆）は＆としてエンコードされます（プレビューから、ここではそれもできません。アンパサンド（＆）は＆amp;としてエンコードされているように見えますが、amp;amp;と入力する必要がありました。アンパサンドの後、正しく表示されます。）（ところで、プレビューはかっこいいですが、スクリプトが有効になっているユーザーには期待できません）

データを解析し、問題が発生した場合は、編集と再送信のために、同じフィールドに事前に入力された同じフォームでユーザーのエントリをユーザーに提示します。

生データを提示すると、ブラウザによって敵対的な入力（スクリプトやHTMLなど）が実行されるリスクがあります。ただし、（htmlspecialcharactersなどを介して）フィルタリングすると、ユーザーは入力した文字（たとえば、アンパサンド）（の表現）が表示されますが、再送信すると、=実際に=送信されます。置換（この場合は＆amp;のように見えます）。これには、アンパサンドが含まれていることがわかります。それでも入力に問題がある場合は、編集のために再度表示され、置換のレベルがさらに深くなります。

ユーザーデータは、ユーザーが実際に送信したものがサニタイズされたバージョンのデータと同一である場合にのみ受け入れられます。これは、サーバー上のテキストファイルと、Webサイトの背後にある組織に送信される電子メールに送信されます。

「答えられる質問」は「これも可能か」だと思います。

ホセ

編集：

結果は、ユーザーがアンパサンドとアンパサンドセミコロンで質問に答えようとするフォームになります。それが拒否された場合（たとえば、他の不正な文字が原因で）、ユーザーには、削除された文字を除いた入力が返されます。ただし、アンプのセミコロンも表示されません（ソースには含まれていますが）。次に、ユーザーは表示された結果に別のアンプセミコロンを追加しようとします。

ユーザーがアンパサンドセミコロンが表示されるのを確認する唯一の方法は（入力が拒否された場合）、アンパサンドセミコロンとセミコロンを入力することです。

最後に満足しました。ユーザーは[送信]をもう一度クリックすると、アンプのセミコロンが再び消えたように見えます。ユーザーは、自分の（送信された）回答がどのように保存されるかを知りません。

ユーザーが次のように入力できるようにします。アンパサンドセミコロン。拒否された場合はアンパサンドセミコロンを参照し、受け入れた場合はアンパサンドセミコロンを保存します。

ホセ

これは、O'ReillyのLearn PHP、MySQL、およびJavascriptから取得したものです。

POSTこれが処理とGETデータに必要なすべてですか？ソースを考えると、これは初心者にとっては呆然としているのではないかと心配しており、後で攻撃を受けやすくなっています。

ありがとうございました。