PHP input sanitizer?

Was sind einige gute PHP-html (input) Desinfektionsmittel?

Vorzugsweise, wenn etwas gebaut wird, in - ich möchte gerne zu uns.

UPDATE:

Pro die Anforderung, über Kommentare, Eingang sollte nicht zulassen von HTML - (und offenbar verhindern, XSS & SQL-Injection, etc).

  • Ich denke, diese Frage braucht etwas mehr info; redest du, so dass der Nutzer zur Eingabe HTML-Code direkt, und bereinigen Sie es zu entfernen, tags wie <script>? In der Zwischenzeit, würde ich sagen, dass einige grundlegende empfohlene Lektüre für alle, die sich für ähnliche info wäre der Abschnitt zur Filterung von Eingang in das Buch "Essential PHP Security" - Bücher.google.ca/...
  • für welche bestimmten Zwecke Sie müssen Ihre Bereinigung?
  • Werfen Sie einen Blick auf diese Frage: stackoverflow.com/questions/1383756/...
  • der link, den Sie scheint nur relevant für XSS. Was ist SQL Injection?
  • SQL-Injektion SQL-server abhängig ist, sollten Sie nicht verlassen sich auf Dritte Teil der Bibliothek, sondern auf die bereitgestellten Funktionen durch Ihre sql-software, wie mysql_real_escape_string() für MySQL
InformationsquelleAutor TeddyN | 2010-04-30
  1. 3

    html-purifier -> http://htmlpurifier.org/

    • Hm. Er sagt, es behebt XSS-Angriffe, aber mein XSS-Angriff-string (von ha.ckers.org/xss.html) kam sauber durch.
    • wow - das ist nicht gut 🙁
    InformationsquelleAutor osm
  2. 0

    Habe ich immer verwendet der PHP-addslashes() und stripslashes () - Funktionen, aber ich habe auch gerade gesehen, die gebaut-in der filter_var() Funktion (link). Sieht aus wie es gibt durchaus ein paar gebaut-in Filter.

    • für welchen Zweck haben Sie sich unter Verwendung der PHP-addslashes() und stripslashes () - Funktionen?
    InformationsquelleAutor awshepard
  3. 0

    Wenn Sie wollen eine Abfrage ausführen, verwenden Sie-sagen wir $_GET['user'] eine schöne Lösung wäre, etwas zu tun, wie dies mit mysql_real_escape_string():

    <?php

    $user = mysql_real_escape_string($_GET['user']);
    $SQL = "SELECT * FROM users WHERE username = '$name'";

    //run $SQL now
    ...
?>

    Wenn Sie speichern möchten, einen text in einer Datenbank und drucken Sie es auf einer web-Seite betrachten Sie die Nutzung htmlentities

    [Edit]Oder wie awshepard gesagt, das Sie verwenden können, addslashes() und stripslashes() Funktionen[/Edit]

    Hier ist ein kleines Beispiel, Bereinigung, wenn es darum geht zu verhindern, XSS-Angriffe:

    <?php
    $str = "A 'quote' is <b>bold</b>";

    //Outputs: A 'quote' is <b>bold</b>
    echo $str;

    //Outputs: A 'quote' is &lt;b&gt;bold&lt;/b&gt;
    echo htmlentities($str);

    //Outputs: A &#039;quote&#039; is &lt;b&gt;bold&lt;/b&gt;
    echo htmlentities($str, ENT_QUOTES);
?>
    • Wäre es nicht Ihre MySQL-Beispiel öffnen Sie bis zu SQL-Injection (dein Beispiel sollte die Verwendung von Vorbereiteten Anweisungen)
    • Ich glaube nicht, verwenden Sie Vorbereitete Anweisungen. Ich verwende mysql_real_escape_string(), wie im Beispiel, eine Menge in meinem PHP-code und bis jetzt war ich nicht in der Lage einen Weg zu finden, nutzen Sie den code, den ich geschrieben. Vielleicht ich don ' T sehen eine mögliche Angriffsmethode, die umgehen kann, mysql_real_escape_string(), wenn du also ein Beispiel, lasst es mich bitte wissen. Ich will immer etwas neues lernen.
    • Optix, StackOverflow bestätigt, dass mysql_real_escape_string() nicht immer verhindern, dass SQL-Injection --> stackoverflow.com/questions/1220182/...
    • danke für die info
    InformationsquelleAutor Dr.Optix
  4. 0

    verwenden

     $input_var=sanitize_input($_POST);

    und Funktionen sind unten, fast bereinigt, alles, was u müssen,

    function sanitize($var, $santype = 1){
     if ($santype == 1) {return strip_tags($var);}
     if ($santype == 2) {return htmlentities(strip_tags($var),ENT_QUOTES,'UTF-8');}
     if ($santype == 3) 
     {
      if (!get_magic_quotes_gpc()) {
       return addslashes(htmlentities(strip_tags($var),ENT_QUOTES,'UTF-8'));
      } 
      else {
         return htmlentities(strip_tags($var),ENT_QUOTES,'UTF-8');
      }
     }
    }
        function sanitize_input($input,$escape_mysql=false,$sanitize_html=true,
             $sanitize_special_chars=true,$allowable_tags='<br><b><strong><p>')
    {
      unset($input['submit']); //we use 'submit' variable for all of our form

      $input_array = $input;

      //array is not referenced when passed into foreach
      //this is why we create another exact array
      foreach ($input as $key=>$value)
      {
       if(!empty($value))
       {
        $input_array[$key]=strtolower($input_array[$key]);
        //stripslashes added by magic quotes
        if(get_magic_quotes_gpc()){$input_array[$key]=sanitize($input_array[$key]);} 

        if($sanitize_html){$input_array[$key] = strip_tags($input_array[$key],$allowable_tags);}

        if($sanitize_special_chars){$input_array[$key] = htmlspecialchars($input_array[$key]);}    

        if($escape_mysql){$input_array[$key] = mysql_real_escape_string($input_array[$key]);}
       }
      }

      return $input_array;

    }

    Erinnern : es wird nicht bereinigt mehrdimensionales array, u müssen, um es zu ändern, rekursiv.

    InformationsquelleAutor diEcho
Schreibe einen Kommentar