Brauche ich zum bereinigen der Benutzer-Eingabe Laravel

Bin ich mit Laravel 4 mit Eloquent.
Wenn ich die Benutzeroberfläche für die Eingabe benutze ich nur $name=Input::get('name') und dann Mach ich $a->name=$name;

Ich weiß nicht, ob die Funktion Input::get schützen mich vor SQL-Injection und XSS. Wenn nicht, was muss ich tun, um zu bereinigen, die Eingabe?

Und, wenn ich den Wert in meinem Ansicht, soll ich {{$a}} oder {{{$a}}}

Grüße und Dank.

  • Zusätzlich zu den anderen Antworten, falls Sie sich entscheiden, etwas zu verwenden, wie neu, Etwas(Input::all()) stellen Sie sicher, dass Sie den $ausfüllbare Felder, in die Etwas modellieren, um Sie zu schützen gegen Masse Belegung. Nicht unbedingt in Bezug auf deine Fragen, aber etwas bewusst zu sein.
InformationsquelleAutor Fylux | 2014-10-05
  1. 11

    Laravel nutzt PDO parameter-Bindung, so dass SQL-injection ist nicht etwas, was man machen sollte. Lesen Sie diese obwohl.

    Input::get() keine filter nichts.

    Dreifach geschweiften Klammern machen das gleiche wie e() und HTML::entities(). Alle von Ihnen nennen htmlentities mit UTF-8-Unterstützung:

    htmlentities($your_string, ENT_QUOTES, 'UTF-8', false);
    • Wenn ich mit {{{ zu zeigen, sollte ich auch htmlentities beim speichern der Daten?
    • Escape-output, nicht input.
    • Danke, aber warum?
    • Es gibt keine Notwendigkeit, Daten verändern, es sei denn, Sie tatsächlich verwenden. Filter input, escape output.
    InformationsquelleAutor cha-cha
  2. 4

    Sollten Sie verwenden {{{$a}}} weil zum Beispiel die Eingabe kann HTML-Tags. Laravel nicht filtern.

    SQL-injection zu vermeiden, sollten Sie verwenden, binden Sie die Parameter für das ausführen von Abfragen wie:

    $var = 1;
$results = DB::select('select * from users where id = ?', array($var));

    und nicht:

    $results = DB::select('select * from users where id = '.$var);
    • So sollte ich verwenden htmlentities oder ähnliches? Was bedeutet Input::get filter?
    • So weit ich weiß, es ist Schnittstelle zu bekommen, POST, GET und so auf die Daten. Es trimmt Daten aber nicht filtern, so dass bei der Anzeige sollten Sie verwenden, dreifach-Verstrebung - auf diese Weise htmlentities Funktion ausgeführt wird, auf die variable Wert
    • Wenn ich mit {{{ zu zeigen, sollte ich auch htmlentities beim speichern der Daten?
    • Nein, mit {{{ Laravel wird es für Sie tun
    • Aber gibt es irgendwelche Probleme wenn ich eine beschädigte Eingabe gespeichert in meine db?
    • was meinst du? Immer könnte es sein, einige problem und läuft htmlentities oder {{{ in der Theorie sollte dieses problem lösen
    • Ich meine, wenn der besser wäre, beides zu tun, verwenden htmlentities und {{{
    • Und um Euch zu kommentieren, ich denke, ich nicht haben problem mit der Bindung von Parametern, weil ich Eloquent.

    InformationsquelleAutor Marcin Nabiałek
Schreibe einen Kommentar