Was macht FILTER_SANITIZE_STRING?

Es ist wie ein Millionen-Q&A, die erklären, die Optionen wie FILTER_FLAG_STRIP_LOWaber was tut FILTER_SANITIZE_STRING tun, auf seine eigene, ohne irgendwelche Optionen? Sie tut nur filter-tags?

InformationsquelleAutor der Frage | 2014-04-30

php sanitization

56

Laut PHP-Handbuch:

Strip-tags, wahlweise Streifen oder Kodieren Sonderzeichen.

Laut W3Schools:

The FILTER_SANITIZE_STRING filter Streifen oder kodiert unerwünschte Zeichen.

Dieser filter entfernt die Daten, die potenziell schädlich für Ihre Anwendung. Es wird verwendet, um Streifen und tags zu entfernen oder zu Kodieren unerwünschte Zeichen.

Nun, das sagt uns nicht viel. Lasst uns sehen, einige PHP-Quellen.

ext/filter/filter.c:
```
static const filter_list_entry filter_list[] = {                                       
    /*...*/
    { "string",          FILTER_SANITIZE_STRING,        php_filter_string          },  
    { "stripped",        FILTER_SANITIZE_STRING,        php_filter_string          },  
    { "encoded",         FILTER_SANITIZE_ENCODED,       php_filter_encoded         },  
    /*...*/
```
Nun, lasst uns sehen, wie php_filter_string definiert ist.

ext/filter/sanitizing_filters.c:
```
/* {{{ php_filter_string */
void php_filter_string(PHP_INPUT_FILTER_PARAM_DECL)
{
    size_t new_len;
    unsigned char enc[256] = {0};

    /* strip high/strip low ( see flags )*/
    php_filter_strip(value, flags);

    if (!(flags & FILTER_FLAG_NO_ENCODE_QUOTES)) {
        enc['\''] = enc['"'] = 1;
    }
    if (flags & FILTER_FLAG_ENCODE_AMP) {
        enc['&'] = 1;
    }
    if (flags & FILTER_FLAG_ENCODE_LOW) {
        memset(enc, 1, 32);
    }
    if (flags & FILTER_FLAG_ENCODE_HIGH) {
        memset(enc + 127, 1, sizeof(enc) - 127);
    }

    php_filter_encode_html(value, enc);

    /* strip tags, implicitly also removes \0 chars */
    new_len = php_strip_tags_ex(Z_STRVAL_P(value), Z_STRLEN_P(value), NULL, NULL, 0, 1);
    Z_STRLEN_P(value) = new_len;

    if (new_len == 0) {
        zval_dtor(value);
        if (flags & FILTER_FLAG_EMPTY_STRING_NULL) {
            ZVAL_NULL(value);
        } else {
            ZVAL_EMPTY_STRING(value);
        }
        return;
    }
}
```
Spare ich mir zu kommentieren-flags, da Sie bereits erklärt, auf das Internet, wie Sie sagte, und konzentrieren sich auf das, was immer durchgeführt, statt, die ist nicht so gut dokumentiert.

Erste - php_filter_strip. Es tut nicht viel, nur dauert die flags, die man der Funktion übergibt, und verarbeitet Sie entsprechend. Es tut gut dokumentierte Sachen.

Dann konstruieren wir eine Art Karte und rufen php_filter_encode_html. Es ist interessanter: er konvertiert Sachen wie "'& und Zeichen mit Ihren ASCII-codes kleiner als 32 und höher als " 127 " ist in HTML-Entitäten, so & in Ihrem string wird &. Wieder, es verwendet die flags für dieses.

Dann bekommen wir rufen zu php_strip_tags_exdie nur Streifen HTML -, XML-und PHP-tags (nach seiner definition in /ext/standard/string.c) und NULL-bytes entfernt, wie der Kommentar sagt.

Code, der folgt, ist es für die interne string-management und nicht wirklich tun, keine Bereinigung. Nun, nicht ganz - vorbei an nicht dokumentierten flag FILTER_FLAG_EMPTY_STRING_NULL zurück NULL wenn die sanitized-string leer ist, anstatt einfach nur einen leeren string, aber es ist nicht wirklich viel nützliches. Ein Beispiel:
```
var_dump(filter_var("yo", FILTER_SANITIZE_STRING, FILTER_FLAG_EMPTY_STRING_NULL));
var_dump(filter_var("\0", FILTER_SANITIZE_STRING, FILTER_FLAG_EMPTY_STRING_NULL));
var_dump(filter_var("yo", FILTER_SANITIZE_STRING));
var_dump(filter_var("\0", FILTER_SANITIZE_STRING));
```
→
```
string(2) "yo"
NULL
string(2) "yo"
string(0) ""
```
Gibt es nicht viel mehr Los ist, also das Handbuch war ziemlich korrekt - um es zusammenzufassen:
- Immer: strip HTML -, XML-und PHP-tags, strip-NULL-bytes.
- FILTER_FLAG_NO_ENCODE_QUOTES - Dieses flag nicht codieren Zitate.
- FILTER_FLAG_STRIP_LOW - Strip-Zeichen mit ASCII-Wert unter 32.
- FILTER_FLAG_STRIP_HIGH - Strip-Zeichen mit ASCII-Wert über 127 ist.
- FILTER_FLAG_ENCODE_LOW - Kodieren von Zeichen mit ASCII-Wert unter 32.
- FILTER_FLAG_ENCODE_HIGH - Kodieren von Zeichen mit ASCII-Wert über 127 ist.
- FILTER_FLAG_ENCODE_AMP - Kodieren, das & Zeichen zu & (nicht &).
- FILTER_FLAG_EMPTY_STRING_NULL - Zurück NULL anstatt eines leeren strings.
InformationsquelleAutor der Antwort rr-
5

Ich war mir nicht sicher, ob "stripping " tags" bedeutet, dass nur die < > Zeichen, und wenn es bewahrt die Inhalte zwischen den tags, z.B. den string "Hallo!" aus <b>Hello!</b>so dass ich beschloss zu prüfen. Hier sind die Ergebnisse, die mit Hilfe von PHP 7.1.5 (und Bash-Kommandozeile):
```
curl --data-urlencode " my-input='\ 
'1. ASCII b/n 32 und 127: ABC abc 012 '\ 
'2. ASCII höher als 127: Çüé '\ 
'3. PHP-tag: <?php $i = 0; ?> '\ 
'4. HTML-Tags: <script type="text/javascript">var i = 0;</script> '\ 
'5. Kaufmännisches und-Zeichen: & '\ 
'6. Backtick: ` '\ 
'7. Doppel-Zitat: "'\ 
'8. Einfache Anführungszeichen: '"'" \ 
http://localhost/sanitize.php 
```
1. - sanitize.php: <?php echo filter_input(INPUT_POST,'my-input', FILTER_SANITIZE_STRING);
  - Ausgabe: 1. ASCII b/n 32 and 127: ABC abc 012 2. ASCII higher than 127: Çüé 3. PHP tag: 4. HTML tag: var i = 0; 5. Ampersand: & 6. Backtick: ` 7. Double quote: " 8. Single quote: '
2. - sanitize.php: <?php echo filter_input(INPUT_POST,'my-input', FILTER_SANITIZE_STRING, FILTER_FLAG_NO_ENCODE_QUOTES);
  - Ausgabe: 1. ASCII b/n 32 and 127: ABC abc 012 2. ASCII higher than 127: Çüé 3. PHP tag: 4. HTML tag: var i = 0; 5. Ampersand: & 6. Backtick: ` 7. Double quote: " 8. Single quote: '
3. - sanitize.php: <?php echo filter_input(INPUT_POST,'my-input', FILTER_SANITIZE_STRING, FILTER_FLAG_STRIP_HIGH);
  - Ausgabe: 1. ASCII b/n 32 and 127: ABC abc 012 2. ASCII higher than 127: 3. PHP tag: 4. HTML tag: var i = 0; 5. Ampersand: & 6. Backtick: ` 7. Double quote: " 8. Single quote: '
4. - sanitize.php: <?php echo filter_input(INPUT_POST,'my-input', FILTER_SANITIZE_STRING, FILTER_FLAG_STRIP_BACKTICK);
  - Ausgabe: 1. ASCII b/n 32 and 127: ABC abc 012 2. ASCII higher than 127: Çüé 3. PHP tag: 4. HTML tag: var i = 0; 5. Ampersand: & 6. Backtick: 7. Double quote: " 8. Single quote: '
5. - sanitize.php: <?php echo filter_input(INPUT_POST,'my-input', FILTER_SANITIZE_STRING, FILTER_FLAG_ENCODE_HIGH);
  - Ausgabe: 1. ASCII b/n 32 and 127: ABC abc 012 2. ASCII higher than 127: ÃÃ¼Ã© 3. PHP tag: 4. HTML tag: var i = 0; 5. Ampersand: & 6. Backtick: ` 7. Double quote: " 8. Single quote: '
6. - sanitize.php: <?php echo filter_input(INPUT_POST,'my-input', FILTER_SANITIZE_STRING, FILTER_FLAG_ENCODE_AMP);
  - Ausgabe: 1. ASCII b/n 32 and 127: ABC abc 012 2. ASCII higher than 127: Çüé 3. PHP tag: 4. HTML tag: var i = 0; 5. Ampersand: & 6. Backtick: ` 7. Double quote: " 8. Single quote: '
Auch, für die Fahnen FILTER_FLAG_STRIP_LOW & FILTER_FLAG_ENCODE_LOW, da mein Bash nicht diese Zeichen anzuzeigen, überprüfte ich mit dem bell-Zeichen (ASCII-007) und Restman Chrome-Erweiterung:
- ohne diese beiden Flaggen, der Charakter ist erhalten
- mit FILTER_FLAG_STRIP_LOW, es ist entfernt
- mit FILTER_FLAG_ENCODE_LOW, codiert 
InformationsquelleAutor der Antwort Jan Żankowski

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.