問題タブ [user-input]

ユーザーは信頼できません。信頼できないユーザーの入力は決して信用しないでください。わかりました。ただし、入力をサニタイズするのに最適な時期はいつかと思います。たとえば、ユーザー入力をやみくもに保存し、アクセス/使用されるたびにサニタイズしますか?それとも、入力をすぐにサニタイズしてから、この「クリーンな」バージョンを保存しますか? これらに加えて、私が考えていない他のアプローチもいくつかあるかもしれません。私は最初の方法にもっと傾いています。なぜなら、ユーザー入力から得られたデータにはまだ慎重にアプローチする必要があり、「クリーンアップされた」データが知らないうちに、または偶然に危険である可能性があるからです。いずれにせよ、人々はどの方法が最善だと考えていますか? また、その理由は何ですか?

マウス/キーボード/ジョイスティックからLinuxでユーザー入力を収集するために使用する、可視ウィンドウを作成する必要のない適切なライブラリはありますか? SDL では合理的な方法でユーザー入力を取得できますが、ウィンドウを作成する必要があるように思われます。これは、コントロールを抽象化して、コントロール マシンがレンダリング マシンと同じである必要がない場合に面倒です。ただし、コントロール マシンとレンダリング マシンが同じである場合、ディスプレイの上に見苦しい小さな SDL ウィンドウが表示されます。

明確にするために編集:
レンダラーには出力ウィンドウがあり、通常の使用例では、両方が同じコンピューター上で実行されている場合を除いて、そのウィンドウはフルスクリーンです。これにより、コントローラーにフォーカスを与えることができます。実際には複数のレンダラーが存在し、すべてが同じコントローラーによって制御される異なるコンピューター上で同じデータの異なるビューを表示する可能性があるため、入力と出力が完全に分離されます (組み込みの X11 クライアント/サーバー機能を利用して表示を少なくします)。使用可能) また、1 つのレンダラーに対して複数のコントローラー アプリケーションも可能です。コントローラーとレンダラー間の通信は、ソケットを介して行われます。

私たちのウェブサイトでフォーム スパムを減らそうとしています。（実際にはかなり最近です）。

スパマーがサイトで Javascript を実行していないことをどこかで読んだことを覚えているようです。

本当？もしそうなら、javascript が無効になっていることを確認して、それがスパムである可能性が高いと判断していただけますか?

私の現在のプロジェクトは、既存のデスクトップ アプリケーションと同等の Web アプリケーションを作成することです。

デスクトップ アプリでは、ワークフローの特定の時点でユーザーがボタンをクリックすると、入力するフォームが表示される場合があります。アプリがフォームを表示するのに少し時間がかかっても、エキスパート ユーザーはフォームがどうなるかを知っています。アプリが「追いつく」ことを知って、入力を開始します。

Web アプリケーションでは、これは起こりません。ユーザーがリンクをクリックすると、次のページのフォームが表示されるまで、キーストロークは失われます。これを防ぐためのトリックはありますか？別のページの使用から離れて、AJAX を使用してGWTなどを使用してページにフォームを埋め込む必要がありますか、それともキーストロークが失われるという問題がまだありますか?

私は単純な入力を取るための最良の方法を探しています:

英数字以外の文字、小文字 (大文字) を削除し、スペースをアンダースコアに置き換えてクリーンアップします。

順序は重要ですか？trこれについて最善/唯一の方法はありますか?

私はWeb上で物事を開発するのが初めてです。これまでのところ、私は多くの時間 (50% 程度) を費やして、悪い人が入力フォームに sql インジェクションなどを入れてサーバー側で検証するのを防ごうとしています。これは正常ですか？

具体的には、特定の時点でユーザーからの入力を必要とする PHP コマンドライン スクリプトがあります。外部エディター (vi など) を実行し、エディターの実行が終了するのを待ってからスクリプトを再開できるようにしたいと考えています。

私の基本的なアイデアは、一時ファイルを使用して編集を行い、後でファイルの内容を取得することでした。次のようなもの：

これは PHP コマンドライン スクリプトからは不可能だと思われますが、同じ効果を得るために使用できる何らかのシェル スクリプト トリックがあることを期待しています。

他のスクリプト言語でこれを実現する方法についての提案も大歓迎です。

特定の種類の HTML タグを許可しながら、SQL インジェクションや XSS 攻撃のユーザー入力をサニタイズするのにうまく機能するキャッチオール関数はどこかにありますか?

ユーザーがテキストボックスに入力できる HTML の種類を制限するにはどうすればよいですか? ベータ テスト中のカスタム ソフトウェアを使用して小さなフォーラムを運営していますが、HTML 入力を制限する方法を知る必要があります。助言がありますか？

私たちの顧客は、誰がオンラインで、私たちが彼らのために書いたカスタムアプリケーションを現在使用しているのか知りたいと思っています。私は彼らとそれについて話し合いました、そしてこれは正確である必要はありません、より多くのゲストが働くでしょう。

したがって、私の考えは、ユーザーアクティビティを決定するための15分の時間間隔です。これを行うためのいくつかのアイデアは次のとおりです。

1. データベースにアクセスしたり、Webページを要求したりするたびに、最後のアクティビティの日時をユーザーレコードにスタンプします。ただし、これはデータベースを大量に消費する可能性があります。

2. 私たちのソフトウェアから「オンラインリクエスト」を送信し、応答を探します。これはスケジュールされた間隔で実行でき、受信した各応答の現在の日付と時刻をユーザーレコードにスタンプします。

あなたの考えは何ですか？そして、あなたはこの状況にどのように対処しますか？

明確化

可能であれば、WindowsとWebの両方で同じアーキテクチャを使用したいと思います。複数のユーザーインターフェイスが相互作用する単一のビジネスロジックレイヤーがあります。WindowsまたはWebの場合があります。

Windowsとは、クライアントサーバーを意味します。

明確化

私はn層アーキテクチャを使用しているので、ビジネスオブジェクトはプレゼンテーション層とのすべての対話を処理します。そのプレゼンテーション層は、クライアントサーバーのWindowsアプリケーション、Webアプリケーション、Webサービスなどにフィードしている可能性があります。

それは私たちの顧客、おそらく最大で100人のユーザーのために開発されたので、トラフィックの多いアプリケーションではありません。