我目前正在使用以下 PHP 类将 html、css 和 javascript 代码存储到我的 mysql 数据库中。
function filter($data) {
$data = trim(htmlentities(strip_tags($data)));
if (get_magic_quotes_gpc())
$data = stripslashes($data);
$data= strip_tags($data);
$data = mysql_real_escape_string($data);
return $data;}
我真的想知道使用的代码是否足够安全以将 HTML / CSS / JS 代码存储在 mysql 数据库中?
【问题讨论】:
标签: php javascript mysql html
是的,从技术上讲,MySQL 可以安全地存储任何类型的文本。这意味着,MySQL 将按原样保存文本并再次返回它而不会丢失任何数据。
Mysql的文本内容没有区别,所以不管是HTML、CSS、JS代码还是你朋友上一封邮件都没有区别。
但是,如果您稍后输出文本,则应注意在从 mysql 提取数据后没有不需要的代码注入。但这实际上与 MySQL 无关。
为了让您的 sql 更安全,请将数据库句柄传递给 mysql_real_escape_string 或更好地使用 MySQLi 和/或 PDO 和准备好的语句。
您的代码看起来像是在努力阻止某些事情,但最终结果却毫无用处:
function filter($data) {
$data = trim(htmlentities(strip_tags($data)));
if (get_magic_quotes_gpc())
$data = stripslashes($data);
$data= strip_tags($data);
$data = mysql_real_escape_string($data);
return $data;}
首先,您应该更改检查 get_magic_quotes_gpc 的位置,以规范该函数正在处理的数据。如果您的应用程序不依赖它,而只是在启用该选项时拒绝工作,那就更好了 - see this important information here about that 如果您关心安全性。
但是为了您发布的代码的安全性,让我们先对函数的输入值进行规范化,然后再进一步处理它。这是通过将检查移动到函数顶部来完成的。
function filter($data)
{
// normalize $data because of get_magic_quotes_gpc
$dataNeedsStripSlashes = get_magic_quotes_gpc();
if ($dataNeedsStripSlashes)
{
$data = stripslashes($data);
}
// normalize $data because of whitespace on beginning and end
$data = trim($data);
// strip tags
$data = strip_tags($data);
// replace characters with their HTML entitites
$data = htmlentities($data);
// mysql escape string
$data = mysql_real_escape_string($data);
return $data;
}
在这个修改后的函数中,魔术引号的东西(你不应该使用)被移到了它的顶部。这确保了无论该选项是打开还是关闭,数据将始终以相同的方式处理。您的函数没有这样做,它会为传递的相同数据创建不同的结果。所以这个问题已经解决了。
即使现在功能看起来更好,它仍然存在很多问题。例如,不清楚该函数实际上做了什么。它同时做很多事情,其中一些是矛盾的:
$data 不应包含 HTML 的标志$data 的文本转换为实际包含 HTML 实体。那么数据应该是什么? HTML 与否?如果事情变得不清楚,它不会引入更多的安全性,因为这将有利于错误进入您的程序并最终甚至通过您的安全预防措施。
所以你应该扔掉代码并考虑以下几点:
因此,如果您想让您的代码更安全,这并不是要向某些数据抛出一堆函数,因为您认为这些与安全相关。这样做不会使您的软件更安全,而是更不安全。
【讨论】:
mysql_real_escape_string()过滤器或 w/e 函数中的数据令人困惑。如果我手动处理查询,我会尽可能地接近实际查询。否则,一个月后你将不记得你把那些逃逸的东西放在哪里并去寻找它,甚至认为你完全忘记了它。