नोट: मैं एसक्यूएल इंजेक्शन और अन्यत्र से बचने के आउटपुट का ख्याल रखता हूं - यह प्रश्न केवल इनपुट फ़िल्टरिंग के बारे में है, धन्यवाद।उपयोगकर्ता इनपुट फ़िल्टरिंग - क्या मुझे HTML फ़िल्टर करने की आवश्यकता है?
मैं अपने उपयोगकर्ता इनपुट फ़िल्टरिंग कार्यों को दोबारा करने के बीच में हूं। filter_var() के साथ एक विशेष प्रकार के फिल्टर करने के लिए मिल/पोस्ट पैरामीटर गुजर इससे पहले कि मैं निम्नलिखित है:
- जांच mb_detect_encoding()
- साथ पैरामीटर एन्कोडिंग UTF-8 में बदलने का iconv() साथ (// ध्यान न दें) के साथ अगर यह नहीं ASCII या UTF-8 के साथ a function found on GnuCitizen.org
- strip_tags() के माध्यम से परिणाम पारित
- स्वच्छ व्हाइट-स्पेस - कोई टैग बिल्कुल अनुमति, Markdown केवल
अब सवाल: क्या यह पैरामीटर को htmLawed या HTML Purifier जैसे फ़िल्टर में पास करने के लिए अभी भी समझ में आता है, या क्या मैं इनपुट को सुरक्षित के रूप में सोच सकता हूं? ऐसा लगता है कि ये दोनों एचटीएमएल तत्वों और विशेषताओं (जो मुझे दिलचस्पी नहीं है, क्योंकि मैं सबकुछ हटाता हूं) की ग्रैन्युलरिटी पर अधिकतर भिन्न होता हूं, लेकिन एचटीएमएलड डॉक्स में 'dangerous characters' के बारे में एक अनुभाग होता है जो बताता है कि कोई कारण हो सकता है इसके प्रयेाग के लिए। इस मामले में, इसके लिए एक साइन विन्यास क्या होगा?
खतरनाक चरित्र यूटीएफ -8 नियंत्रण वर्ण हो सकता है। – Jacco
उनसे छुटकारा पाने के बारे में कोई सुझाव? – djn
मुझे वास्तव में आपका नोट नहीं मिलता है, एसक्यूएल इंजेक्शन एक एसक्यूएल क्वेरी में गंदा उपयोगकर्ता इनपुट को रोकने के बारे में है। वास्तव में बहुसंख्यक बहुसंख्यक खराब इनपुट के कारण होते हैं, आउटपुट नहीं। इन्हें "दांत और सिंक" भेद्यता कहा जाता है। – rook