問題タブ [sanitize]

Ruby のサニタイズ ライブラリを使用してトランスフォーマー ラムダを作成するこの例で問題が発生しています。

私は自分のoptions[:content]変数にあるものをすべてサニタイズしようとする単純なスクリプトを調べてまとめましたが、:node_whitelist と呼ばれるノードの配列を含むハッシュが返されるビットにヒットしたにもかかわらず、どういうわけか私のノードがホワイトリストを作成していないようです.

これが私のコードです：

生成されている出力は次のとおりです。

私は何を間違っていますか？

<textarea>値がサーバーに送信され、データベースに保存されます。この値は、後で HTML のさまざまなページにレンダリングされます。

これを消毒するにはどうすればいいですか？HTMLタグを削除するだけですか？(ストアド プロシージャとパラメーターを使用しているため、既に SQL インジェクションに対して安全です。)

誰かが消毒ルーチンを持っていますか？

私はコーディングと PHP の世界に慣れていないので、不正なページやコード インジェクションなどを避けるためにフォーム データをサニタイズする最善の方法を学びたいと考えています。以下で見つけたサンプル スクリプトは良い例ですか?

最初にhttp://codeassembly.com/How-to-sanitize-your-php-input/に投稿されたコード

私は通常、次のようにしてユーザー入力をエスケープします。

htmlspecialchars($str,ENT_QUOTES,"UTF-8");

またmysql_real_escape_string($str)、mysql接続が利用可能な場合はいつでも。

これをどのように改善できますか？今のところ問題はありませんが、よくわかりません。

ありがとうございました。

Sanitize gemを使用して、いくつかのHTMLをクリーンアップしています。アンカータグのhref属性で、以下を解析したいと思います。

<a href="#fn:1">1</a>

これは、Kramdowngemを使用して脚注を実装するために必要です。

ただし、Sanitizeはhref属性内のコロンを好まないようです。<a>1</a>代わりに、href属性を完全にスキップして出力するだけです。

私のサニタイズコードは次のようになります。

Sanitizeにhref属性のコロンを受け入れるようにする方法はありますか？

ActionView::Helpers::SanitizeHelper#sanitize メソッドが問題のある HTML を完全に削除するのではなくエスケープする方法はありますか?

私は使用しますhが、特定のタグを無視するように設定できるため、消毒方法が必要です。

nokogiriでhtmlページをスクレイピングしていて、すべてのスタイル属性を削除したいと思います。
どうすればこれを達成できますか？（私はレールを使用していないので、サニタイズ方法を使用できません。また、サニタイズジェムを使用したくないので、ホワイトリストではなくブラックリストから削除します）

なりたい

私の検索では、主に、次を使用して単一の入力ボックスを出力またはサニタイズするときにデータをサニタイズする方法を見つけました。

ただし、次のようなオブジェクトを作成しています。

これで、params[:user] ハッシュの各キーを 1 つずつサニタイズできましたが、もっと洗練された手法があるはずです。

以下をエスケープ/サニタイズする必要がありますか?

1. $_SERVER['HTTP_USER_AGENT']PHP スクリプト内 (データベースに挿入されず、ユーザーに表示されません)。例:

   /li>

2. $_SERVER['HTTP_USER_AGENT']たとえば、次のようにセッション変数として配置した場合:

   /li>

3. ハッシュされるものすべて。たとえば:

   /li>

4. メール本文用のユーザー入力 (つまり、メール ヘッダー インジェクションは既に処理済みです)。

上記のいずれかを除外/サニタイズする必要がある場合、それぞれの場合に最適な方法は何ですか?

これは2つの質問です。

ニュース記事の作成など、ユーザー入力を受け入れるRoR（3.0.7）アプリケーションがあります。これまでのところ、ユーザーは信頼されているため、ユーザー入力はプレーンXHTMLでした。ただし、XHTMLでWebサイトに投稿を作成するのは一部のユーザーにとって難しいため、テキスタイルへの移行を試みます。

テキスタイルを使用するために、RedClothをインストールしました。

既存のニュース記事をテキスタイルに変換することはありません。これは、データを統一するための正しい方法であると私は知っています。そのため、特定の日付以降にのみコンテンツにRedClothを使用する予定です。

ビューでは、created_atの日付をチェックし、出力する前にRedClothを呼び出すという条件があります。ただし、それは、すべてのビューを繰り返し処理し、その特定のコンテンツを提示するたびに条件を挿入する必要があることを意味します。複製する必要のあるコードを最小限に抑えるヘルパーを作成することもできます。

それを実行してDRYを維持する代わりに、ロジックをモデルに移動することにしました。モデルには、articlecontentという列があります。私が思いついたのは以下のコードで、これまでのところうまくいくようです。

だから私の質問は：

1）これは正しい方法ですか？または、ある種のViewHelperを定義する必要がありますか？

2）おそらく正当な理由で、モデルのサニタイズヘルパーを呼び出すことができないようです。モデルでヘルパーを呼び出す方法はありますか？

ありがとうマーク