問題タブ [sanitize]

私はインドのNGO（Seva Mandir、http： //sevamandir.org ）でインターンをしていて、壊れた「ニュースレターの購読」ボックスを修正しようとしています。スタッフはあまり洗練されておらず、私たちのWebホストも優れていないため、MySQLデータベースに保存する代わりに、関連データをmail（）を介して出版社に送信することにしました。

ユーザー入力を悪意のあるものとして扱うのが最善であることを私は知っており、メールメッセージを送信するためのユーザーデータのエスケープに関連する投稿をSOフォーラムで検索しました。データをエスケープする必要があることはわかっています。何を心配する必要があり、電子メールで入力する前に入力をサニタイズするための最良の方法は何ですか？

また、組織のWebホストはまだPHP 4を使用しているため、文字列にfilter_varを使用することはできません。私は問題を解決するために彼らと協力していますが、今のところ、正規表現、strip_tags、またはその他の方法を使用する必要があります。

フォームフロー：
1。ユーザーがホームページにメールを入力して[送信]をクリックします
2.ユーザーが2ページ目に名前、住所、詳細情報を入力し（使い勝手が悪い、わかりましたが、上司から依頼されました）、[送信]をクリックします
3.データを収集します$ _POSTを介して、出版物の編集者に電子メールで送信します（場合によっては、購読者に確認を送信します）。

ステップ2でメールをサニタイズし、ステップ3で他のデータをサニタイズします。Kevinさん、よろしくお願いします。

私はこのケースを、それ自体に送信する単純なPHPページに変えました。私の問題は、私がトラック大会の結果を提出しているということです、そして、女の子の名前の1つはエコーです...素敵な名前です。

私が提出している問題のテキストは次のとおりです。棒高跳び-レイチェルサイモンズ、トウ、8-6; Echo Wilson、Cit、8-0; モリー・ランドール、トウ、7-0;

したがって、セミコロン、空白、エコーが続きます...

送信後、次のように表示されます。/results/test.phpへのPOSTはサポートされていません

最終的な目標は、それを他の情報と一緒にデータベースに保存し、それを見つけるための検索ページを用意して、画面に結果全体を印刷することです。私はすべてのデータベースのものを取り除いて、この1つのエラーに落とし込みました。つまり、意図的に彼女の名前のつづりを間違える可能性がありますが、これを回避する方法が必要ですよね？

これがテストPHPファイルです。

これはおそらく私が今までに見つけた中で最悪のエラーです。

2 つのプロジェクトがあり、どちらも同じコードを使用しています。

しかし、1つは機能し、もう1つは失敗します。

問題は、この貧しい人の投稿に似ています: https://stackoverflow.com/questions/2724342/cant-dup-nilclass-how-to-trace-to-offender

誰か助けてくれませんか？

私のDBMSがアポストロフィ（'）の受信について不平を言っているので、アポストロフィ（'）のXMLコンテンツを削除する方法を探していました。

私は欲しい

になる：

ここで説明されている、に置き換えられるはず'の例を見て''、次のスクリプトを作成しました。

更新：正常に動作します

ご協力いただきありがとうございます

AJAX を使用したフォームの検証について、ライブ フィードバックをユーザーに提供するコードを書いています。長さをチェックし、フィールドが空かどうかを確認しました。ここで、ユーザーの入力をサニタイズして、サニタイズされた入力がユーザーの元の入力と異なる場合は、許可されていない文字を伝えます。

私がこれまでに書いたコードは、いくつかの文字、特に「£」記号が応答しないことを除いて機能します。json_encode とそのエンコーディングに関連していると思います。

コードは次のとおりです。

誰かが解決策を見つけられることを願っています。

データベースに保存されたフィールドがサニタイズされるように、表示ではなく入力時にアプリケーションで html をサニタイズする必要があります。

私はこれを で行ってきましたが、うまく機能していましたstrip_tags。ただし、これには、ユーザーが and で囲まれたものを入力できないことを意味するという欠点が<あり>ます。

タグをデータベースに保存する前に、タグを安全にエスケープするようにモデル内の Rails に指示するにはどうすればよいですか? hビューで使用する前に、サニタイズされたフィールドを再度呼び出す必要はありません。

私が現在探しているのは、シンプルで基本的なログイン資格情報のサニテーションスクリプトです。

私はそうするための関数を作っていることを理解しています、そして私はそれを持っています...しかしそれが今しているのはストリップタグだけです...

私はreplaceを使用する運命にありますか？または、すべての特殊文字とスペースを削除して文字と数字のみに制限する方法はありますか？パスワードについては、文字と数字の感嘆符、ピリオド、およびその他の特殊文字のみに制限して、自分に影響を与えないようにする方法はありますか？ SQLクエリ。

助けてください ：/

ありがとう、マット

私はネットを精査してきましたが、何も見つかりませんでした！

symfonysフォームフレームワークを使用して、単純な「作成」フォームを作成しています。検証は問題ありません。ただし、送信した値を事前にフィルタリングしたいので、ucfirst、strtoupperなどを追加します。

ここで重要な何かが欠けているかどうかはわかりませんが、これを行う唯一の方法は、独自のカスタムバリデーターを作成し、doCleanメソッドを利用することです。 php関数ごとに！

皆さんが助けてくれることを願っています。私はソースコード、API、多数の本やブログをクロールしてきましたが、何も見つかりませんでした:(不可能か、本当に簡単です。後者を願っています！

他のユーザーに表示する予定のユーザー入力テキストにActionView::Helpers::SanitizeHelper#sanitizeを使用できますか? たとえば、このサイトで説明されているすべてのケースを適切に処理できますか?

また、ドキュメントには次のことが記載されています。

ユーザー提供のテキストをサニタイズしても、結果のマークアップが有効である (ドキュメントの種類に準拠している) こと、または整形式であることは保証されないことに注意してください。出力には、エスケープされていない '<'、'>'、'&' などがまだ含まれている可能性があります。ブラウザを混乱させます。

これを処理する最良の方法は何ですか? Hpricot表示する前にサニタイズされたテキストを渡しますか?

SQLクエリの一部をサニタイズする必要があります。私はこのようなことができます：

しかし、保護されたメソッドを公開しているため、安全ではありません。それを行うより良い方法は何ですか？