表单安全，php，mysql，utf8 [重复]

Question

我正在制作一个注册表单，其中一些输入进入数据库，而另一些则没有。我的页面使用 utf8。对于不进入数据库的数据，我使用这个函数（一种 htmlspecialchars）：

$c = array("'", '"', "/", "<", ">", "$", "%");
$s = str_replace($c, "", $s);

对于数据库，我将使用 mysqli_real_escape_string。 从安全的角度来看2个问题，假设我想允许符号和unicode（utf8）。

1-对于不进入db的数据，上面的功能是否足够？

2- 对于数据库中的数据，是否足够 mysqli_real_escape_string 或者我也应该使用上面的函数？还是别的什么？

谢谢。

Update1在回答后更新。

$c = array("'", '"', "/", "\\", "<", ">", "$", "%", "&");
$s = str_replace($c, "", $s);

更新2 因此，要插入数据库，我应该使用 realescapestring 或准备。然后在每个输出处转义，这取决于平台/语言。

2 注释：

这样一来，我必须多次逃脱，而不是一次，但也有一些好处......

Php 对小黑客的攻击似乎相当强大，看起来它会自动转义一些字符......

Answer 1

$c = array("'", '"', "/", "<", ">", "$", "%");

这种字符串修饰既没有必要也不足以防止注入问题到 HTML（因为与号）或 MySQL 字符串文字（因为反斜杠）。

注入是一个输出转义问题，而不是输入过滤问题。通过尝试在输入阶段全局处理它们，您会使您的应用程序因各种有效输入而中断，而不能保证通过其他方式进入的任何数据的安全输出。

为了防止 SQL 注入，mysqli_real_escape_string 很好，此时您正在构建查询字符串。 （尽管参数化查询通常更容易可靠地正确。）

为了防止 HTML 注入，htmlspecialchars 很好，此时您正在将字符串写入 HTML 模板。 （尽管需要一种能够自动进行 HTML 转义的模板语言，因此您有时不要忘记这样做。）

其他类型的注入需要自己的特殊处理。例如，如果您要输出到 URL 查询组件，则需要 urlencode()；如果您要向 JavaScript 代码输出值，则需要类似 json_encode() 的内容。同样，这发生在您为这些东西创建输出的时候；您无法在输入过滤阶段处理此问题，因为您不知道什么数据将在什么上下文中结束。

输入过滤是一个好主意，可以删除您知道永远不会想要的字符（例如控制字符），并在特定输入字段中强制执行业务规则（例如用户名中的有效字符）。但是输入过滤绝对不是担心注入问题的地方。

Answer 2

对于不进入数据库的数据，我使用这个函数（一种 htmlspecialchars）：

为了将输出转义到网页上，为什么不直接使用htmlspecialchars()？例如：

function noHTML(string $input): string
{
    return htmlspecialchars($input, ENT_QUOTES | ENT_HTML5, 'UTF-8');
}

祝你好运。

对于数据库，我将使用 mysqli_real_escape_string。

请不要。见this answer。

---

---

SQLi 和 XSS 的一分钟解决方案

• SQL Injection：使用准备好的语句 (without emulation!)，不要费心转义。
• Cross-site scripting:
  • 需要格式化输出（例如 HTML）？ HTMLPurifier 或 Stauros 输出。
  • 否则，像上面的noHTML() 这样的函数会产生奇迹。
• 不要试图对这两个问题都使用一种万能的解决方案。

没有别的了。这些都是已解决的问题。