1
Pour une recherche d'URL sécurisée, quoi de plus sécurisé? filter_var($string, FILTER_SANITIZE_SPECIAL_CHARS) ou htmlentities?Filtrage d'URL en php, filter_var ou htmlentities
A
Répondre
1
Qu'est-ce que vous défendez? Une vulnérabilité dépend fortement de la manière dont les données sont utilisées. Il est impossible de créer un appel de fonction qui protège contre tout, et mélanger des systèmes de protection (comme l'injection xss et sql) est une très mauvaise idée.
Pour XSS, vous devez utiliser: htmlspecialchars($var, ENT_QUOTES);
Pour Sql Injection dans MySQL vous devez utiliser mysql_real_escape_string($var);
Si vous passez l'entrée d'utilisateur à system() ou d'une autre fonction similaire, vous devez utiliser escapeshellarg($var);
Ces sont les 3 premiers et en mélangeant ceux-ci ne causeront rien mais des problèmes.
+0
Défense contre XSS et l'injection. Est-ce que cela signifie que "je dois" mélanger le thème de toute façon? – TheNone
+0
@phpExe Non, pas vraiment. XSS est seulement un problème lorsque vous imprimez des données, et l'injection SQL est seulement un problème lorsque vous générez des requêtes. Si vous ** voulez vraiment que les données soient htmlspecialchar'ed dans la base de données (je déconseille cela parce qu'il peut vider les comparaisons) puis faire un 'mysql_real_escape_string (htmlspecialchars ($ var, ENT_QUOTES));'. Dans le cas d'une injection SQL, assurez-vous que la routine d'échappement est toujours la toute dernière opération avant de générer la requête. – rook
+0
Merci La Tour, Vous êtes mon idole. – TheNone
3
Le premier est clairement conçu à cet effet.
Questions connexes
- 1. PHP htmlentities
- 2. filter_var ou fonction personnalisée pour la validation d'email en php
- 3. PHP filter_var() - FILTER_VALIDATE_URL
- 4. Php DOMDocument Htmlentities problème
- 5. htmlentities équivalent en JSP?
- 6. PHP: en utilisant preg_replace avec htmlentities
- 7. Filtrage PHP Formulaire Entrée
- 8. PHP - BUG avec filter_var et FILTER_VALIDATE_FLOAT
- 9. Fonction filter_var() de PHP Génération d'avertissement
- 10. php htmlentities pour décoder le textarea
- 11. JSON htmlentities javascript
- 12. PHP filter_var pour une URL contre les attaques XSS
- 13. Le filtre filter_var de PHP FILTER_VALIDATE_EMAIL fonctionne-t-il réellement?
- 14. Fonction de filtrage XSS en PHP
- 15. entrée utilisateur de filtrage en php
- 16. Décodez htmlEntities en remplissant Zend Form
- 17. Utilisez les deux statuts PDO et filter_var?
- 18. Filtrage PHP Formulaire Entrée
- 19. Tableau de filtrage PHP
- 20. Comment afficher les balises html converties par htmlentities PHP en div en utilisant jQuery?
- 21. PHP: htmlentities ne fonctionne pas avec la variable
- 22. Filtrage d'entrée JSON nécessaire ou non
- 23. filtrage html sûr avec php?
- 24. Comment coder une fonction de filtrage de liste noire efficace en PHP?
- 25. YUICompressor ou similaire en PHP?
- 26. En vb2005.net existe-t-il une fonction qui fonctionne comme la fonction php "htmlentities"
- 27. En utilisant PHP, comment puis-je appliquer HTMLentities() à une référence arrière dans un appel preg_replace()?
- 28. Empêcher parcourir pour rendre le HTML lors de l'utilisation de la fonction htmlentities() en PHP
- 29. Pourquoi filter_var ($ email, FILTER_VALIDATE_EMAIL) autorise test @ test?
- 30. Filtrage des utilisateurs PHP et MySQL
Pour une URL, 'urlencode()' ou 'FILTER_SANITIZE_URL' ne serait-il pas préférable? – TRiG