常见的误解是可以过滤用户输入。PHP甚至有一个(现在已弃用的)“功能”,称为magic-quotes,它基于此思想。废话
忘记过滤(或清洁,或任何人称呼它)。
为避免出现问题,您应该做的事情很简单:每当将字符串嵌入外部代码中时,都必须根据该语言的规则对其进行转义。例如,如果您在针对MySQL的某些SQL中嵌入了字符串,则必须为此使用MySQL的函数对字符串进行转义(
mysqli_real_escape_string)。(或者,对于数据库,在可能的情况下,使用预备语句是更好的方法。)
另一个示例是HTML:如果将字符串嵌入HTML标记中,则必须使用对其进行转义
htmlspecialchars。这意味着每个单行
echo或
htmlspecialchars。
第三个示例是shell命令:如果要将字符串(例如参数)嵌入到外部命令中,并使用调用它们
exec,则必须使用
escapeshellcmd和
escapeshellarg。
等等等等 …
您需要主动过滤数据的 唯一
情况是接受预先格式化的输入。例如,如果您让用户发布HTML标记,那么您计划显示在网站上。但是,您应该明智地不惜一切代价避免这种情况,因为无论您对其进行多么好的过滤,它始终都是潜在的安全漏洞。
