0
私は\ ...アップロードフォームのテキストフィールドに入力されるように、<、>、 '、「などの文字を禁止すべきか?テキストがブログにPHP経由で送信されます。禁止する文字
を私はいくつかの文字が問題を引き起こす可能性があるとサーバー「/危害をハック」するために使用することができることを聞いた。制限すべき文字?あなたの入力のための
感謝を。 マイケル
Q
禁止する文字
A
答えて
1
は何かを制限する必要はありません。問題はあなたがにすべてのユーザ入力をにする必要があることですこの特定の種類のデータ(可能なHTML)は、ページの一部として表示する前にすべてのユーザー提供データにhtmlspecialcharsを使用するのに必要で十分です。
は、フォームがpost-bodyという名前のテキストエリアを持っている場合たとえば、あなたは(例えば$_REQUEST['post-body']を持つ)ユーザー入力を受け取る必要があり、そのまま-(データベースに保存警告:SQLから身を守るために使用mysql_real_escape_stringかPDOこの段階で注入!)。時間がそれを表示するために出たとき、あなたは、データベースから取得し、
echo htmlspecialchars($postBody);
ようなもので、それを印刷したデータのサニタイズにいくつかのより多くの背景についてthis questionを参照してください。
0
ユーザデータを出力するたびにユーザデータをhtmlspecialcharsでサニタイズして、XSS-attacksを避ける必要があります。
また、SQLクエリのユーザーデータを操作するには、PDOと準備済みの文を使用するか、を回避する関数mysql_real_escape_stringを使用します。 Example。
+0
素晴らしい入力をいただきありがとうございます。 – Michael
0
<? $string = str_replace("\\\"", "\"", $string);
$string = htmlspecialchars($string);
$string = preg_replace("/\r\n|\n|\r/", "<br>", $string); ?>
<input type = "text" name = "string" id = "string" value = "<?=$string?>">
関連する問題
- 1. mysqlテーブルの禁止文字
- 2. Javascript特殊文字を禁止する正規表現
- 3. 特定の文字列を禁止する
- 4. divの文字数を制限する(貼り付け禁止)
- 5. UITextFieldの特殊文字を禁止する
- 6. elasticsearchエイリアシングの禁止文字はありますか?
- 7. HTTP 403禁止リクエスト時の禁止ジャージ
- 8. V93kテストメソッドのパラメータ名と禁止されたRuby文字
- 9. Parallel.ForEachの使用を禁止または禁止する
- 10. '禁止された'ファイルを禁止するSonarQubeルール
- 11. 文字列リテラルによる角2のアクセスは禁止されています
- 12. 文字の組み合わせを禁止する正規表現
- 13. モデルを禁止する
- 14. 禁止ファイルタイプdocx
- 15. Sbtダウンロードリポジトリ禁止
- 16. Couchdb添付ファイル名 '_design/modify'は禁止文字 '_'で始まります
- 17. XNA禁止drawメソッド
- 18. SuiteCRM 403エラー(禁止)
- 19. 403リクエストに禁止
- 20. アクセス禁止のエラー
- 21. アクセス禁止! LAMPPで
- 22. GoogleJsonResponseException 403禁止PERMISSION_DENIED
- 23. Apache mod_wsgiエラー:禁止
- 24. キャッシング禁止JavaScript/CSS
- 25. レール3禁止select_field
- 26. HTTPエラー403(禁止)
- 27. HTMLパーシング禁止エラー
- 28. googleフレックスエンドポイント403禁止
- 29. XMLリーダー - (403)禁止
- 30. アクセス禁止! Xampp localhost
文字をブラックリストに登録しないでください。それらをホワイトリストに入れる。 –
申し訳ありませんが、それはどういう意味ですか? – Michael
http://en.wikipedia.org/wiki/Whitelist –