問題タブ [sanitize]

ユーザーがさまざまなデータ（投稿、コメントなど）を入力できるようにするアプリケーションを作成しました。simple_formatは今のところ私にとっては良いことですが、クレイジーなものから保護したいだけです。私はいくつかのガイドを読む前後にサニタイズを使用していませんが、実装方法についてまだ少し混乱しています。私がここでいくつかの方向性を得ることができることを願っています。

@post.bodyを収集しているとしましょう。<div>タグまたは<script>ユーザーが入力した可能性のあるタグを削除するにはどうすればよいですか？ビューでは、次のようになると思います。

...しかし、許可されていないタグはどこで定義すればよいですか？Postモデルまたはsanitize_helperで？ここでの正しい構文は何ですか？

別のシェル プログラムに引数として渡すことができるように、bash スクリプトでユーザー入力をサニタイズするにはどうすればよいですか? 以下を防止したい。

次のように、ユーザー入力を二重引用符で囲むだけで十分だと考えていました。

に二重引用符がある場合はどうなり$INPUTますか?

それとも、bash はすでにこの問題に対処していますか?

PHP を使い始めたとき、PHP の型付けが緩く、習得が容易であることに本当に満足していました。しかし、それに慣れるにつれて、大まかに型付けされていると、スクリプトを単純化するのではなく、実際にはスクリプトが複雑になることに気付きました。$_POSTそして今、PHP 変数、特に入力変数 ( 、$_GET、$_COOKIE、$_REQUESTおよびいくつかの変数) を厳密に型指定する方法を探しています$_SERVER。

また、SQL インジェクションやその他のエラーが発生しやすい検証プロセスの多くを「忘れる」ことができるように、このプロセスで検証とサニタイズを非表示にしたいと考えています。これをどのようにしたいかの大まかなスケッチがあります。

まず、変数を宣言します。できればOOPで

これで、宣言されていないすべての変数を定義済みの PHP GLOBAL から削除し、変数の型を使用してそれらをグローバル配列で直接検証およびサニタイズすることができます。
また、emaill などの検証されていない変数の値を bool false に設定し、un-submitted を null に設定して、データの検証中に使用することもできます。ただし、車輪を再発明する前に、次のことを望んでいました。

私の問題を解決するのにすでに役立つライブラリに私を案内してくれる人がいるでしょうか?
このワイルドなファンタジーを追求してはいけない理由があるとしたら? これを達成するためのより良い、より明確な方法はありますか?
このアイデアについて、その他の一般的な考えはありますか?

Railsで埋め込みコードを使用できるように、誰かが私に方向性を教えてもらえますか? スライドショーのプロ ファイルを埋め込む必要がある場合もあれば、異なるエントリの同じ領域に youtube ファイルと vimeo ファイルを埋め込む必要がある場合もあります。埋め込みコードを使用するのが最も簡単ですが、埋め込みコードを削除し続けます。

santize プラグインを使用していますか? 誰かがチュートリアルを教えてくれますか?

どうも

私のサイトには、ユーザーがコードを送信できるセクションがあります。データベースに安全に保存したい。

私はphpを使用しています。html purifier を使用してデータをデータベースに保存しようとしましたが、すべてのコードが削除されます。

助けていただければ幸いです。

ありがとう。

ここでは、データのサニタイズについて多くの話があります。この書き換えルールを.htaccessに追加するのと同じくらい簡単でしょうか？

私の理解では、これは1ドルで文字、数字、_、-のみを許可しますよね？

SQLクエリ用のプリペアドステートメントのこの使用法に追加すると、かなりの証拠になるはずですよね？

どういうわけか、真実には簡単すぎるように感じます、私は何かを逃していますか、それを固める方法はありますか？

I recently made a small rails3 app to convert an old cms written in another language. After migrating the content I am having problems outputting content from the database.

The @content.desc field sometimes has html. Currently the only way I could get it to work was:

But is this the best way? When I use <%=h @content.desc %> I can see the html tags still. When I use <%= simple_format @content.desc %> I get wicked spacing.

Is there a definitive guide somewhere where I can see all of the options while outputting content? I've tried to search but can't turn anything up (rails newb, i know).

ハイ。では、WYSISWYG エディターから入力された特定のクラスのすべてのリンクをサニタイズする関数を作成する方法を知っている人はいますか? wordpress の組み込みの sanitize_title 関数については知っていますが、それらのリンク (特定のクラスのリンク) を参照する方法がわかりません。どんな助けでも大歓迎です。

$_POSTデータをすばやくフィルタリングするために、このきちんとしたコードに出くわしました。

新しいバージョン (PHP 5.2 以降) に更新しました。

今、私は妄想的です。これは簡単すぎるようです。そう

• すべてのデータに対してこれを行うべきではありませんか? post(ぎこちない神経質な目)
• 一般的な、、または Cookie データunsafe_rawの正しいフィルタはどれですか?postget

主にSQLインジェクションを除去するために、一般的な消毒剤を探しているだけだと付け加えておく必要があります。メールアドレスか何かがあれば、後でもう一度フィルタリングできます。アイデア / 提案 / 恐ろしい視線はありますか?

Railsアプリケーションで使用したい「名前空間」のカスタムタグ（radius gemで開発）がいくつかあります。xss攻撃を防ぐためにsanitize gemを使いたいのですが、sanitizeで名前空間を設定する方法が記載されていません。可能な方法はありますか？