For a secure url query, what is more secure? filter_var($string, FILTER_SANITIZE_SPECIAL_CHARS) or htmlentities ?
php,filter_var或htmlentities中的URL过滤
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
分享- 邀请回答
-
2条回答 默认 最新
- dongsuikai8286 2010-07-06 17:37关注
What are you defending against? A vulnerability is highly dependent on how the data is being used. Its impossible to create 1 function call that protects against everything, and mixing protection systems (like xss and sql injection) is a very bad idea.
For XSS you should use:
htmlspecialchars($var, ENT_QUOTES);For Sql Injection in mysql you should use
mysql_real_escape_string($var);If you are passing user input to
system()or another similar function then you should useescapeshellarg($var);These are the top 3 and mixing these will cause nothing but problems.
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报 分享
- 2010-07-06 17:06回答 2 已采纳 What are you defending against? A vulnerability is highly dependent on how the data is being used
- 2017-01-12 14:34回答 1 已采纳 Only use the following line for emails: filter_input(INPUT_POST, "email", FILTER_SANITIZE_EMAIL);
- 2011-08-05 20:43回答 1 已采纳 My guess (about lack of adoption) would be it's simply because the Filter extension is only enable
- 2021-03-28 08:14weixin_39553653的博客 前言一般,咱们获取请求参数的方法为直接访问超全局变量:$_GET,$_POST,$_SERVER,$_ENV,$_COOKIE,而在 php5.2 中,内置了 filter 模块,用于变量的验证和过滤等操做。过滤器函数简化了代码结构,相对于直接访问超全局...
- 2017-07-18 06:00回答 2 已采纳 Because the JavaScript generating the page content. All necessary data is in the JavaScript code.
- 2013-07-03 13:40回答 1 已采纳 You're not specifying which error you are getting in json_encode(), but my suspicion is that your
- 2017-09-26 10:39回答 2 已采纳 You did not execute your prepared statement. What you have to do is add this after your prepared s
- 2021-04-12 15:23弄哭你的博客 1、过滤输入过滤输入是指转义或删除不安全的字符。在数据到达应用的存储层之前,一定要过滤输入数据,这是第一道防线。假如网站的评论框接受HTML,用户可以随意在评论中加入恶意的标签,如下所示:这篇文章很有用!...
- 2019-06-11 17:26回答 1 已采纳 The answer as Nigel Ren suggested was just to remove these two lines, as they no longer apply: $
- 2019-02-11 18:32回答 1 已采纳 So updating this in case someone stumbles upon similar. I managed using JQuery as following: get_
- 2018-01-29 10:56回答 1 已采纳 It is necessary to change single and double quotes in places. Try this code: $ligne['designation'
- 2020-11-05 21:00HuaSir_X的博客 简介 PHP是一种动态语言,在Web...下面是几种通用的输入过滤方法,目的是清除或替换有害字符,主要针对SQL注入和跨站脚本漏洞。 显式类型转换 在SQL语句查询等情况下,需要安全的使用数字字符,为了确保字符中仅包含数
- 2014-03-08 15:18回答 1 已采纳 I send request without CDATA (i.e. <ns1:in0><node>) and it works fine.
- 2021-03-22 20:29weixin_39926540的博客 PHP htmlentities() 函数把字符转换为 HTML 实体:过滤html标签
- 2021-03-16 23:54曹文雯的博客 PHP 安全三板斧:过滤、验证和转义之过滤篇 & Laravel底层SQL注入规避由 学院君 创建于4年前, 最后更新于 1年前版本号 #328413 views19 likes0 collects我们在开发应用时,一般有个约定:不要信任任何来自不受...
- 2021-04-29 02:48柴犬kobe的博客 例如以下这些外部源:$_GET$_POST$_REQUEST$_COOKIE$argvphp://stdinphp://inputfile_get_contents()远程数据库远程API来自客户端的数据所有这些外部源都可能是攻击媒介,可能会(有意或无意)把恶意数据注入PHP脚本。...
- 2021-04-27 05:52邹小樱的博客 现在有很多php开发框架都提供关于防XSS攻击的过滤方法,下面和大家分享一个预防XSS攻击和ajax跨域攻击的函数,主要去除了script等标签,下面直接上代码,不断的增加完善改进中。//去除xxs的攻击的公共方法public ...
- 2017-10-04 14:50Gtaker的博客 通常,我们取得参数的方法为直接访问超全局变量:$_GET,$_POST,$SERVER,$_ENV,$_COOKIE,而在 php5.2 中,内置了filter模块,用于变量的验证和过滤,过滤变量等操作。过滤器函数简化了代码结构,相对于直接访问超全局...
- 2019-03-25 10:37珊瑚贝的博客 实际开发中,总有人有意或无意的把危险数据注入PHP代码中,因此PHP安全编程变得和重要,一般我们处理外部输入安全思路是:过滤输入、验证数据。 过滤输入 过滤输入是指将来自外部数据中不安全的字符转义或删除。 ...
- 2018-09-19 19:33hixiaoyang的博客 PHP学习线路图 PHP教程 PHP教程 PHP简介 PHP环境设置 PHP语法概述 PHP变量类型 PHP常量类型 PHP运算符类型 PHP 条件语句 PHP循环语句 PHP数组 PHP字符串操作 PHP Web概念 PHP的GET...
- 没有解决我的问题, 去提问
悬赏问题
- ¥15 自适应 AR 模型 参数估计Matlab程序
- ¥100 角动量包络面如何用MATLAB绘制
- ¥15 merge函数占用内存过大
- ¥15 Revit2020下载问题
- ¥15 使用EMD去噪处理RML2016数据集时候的原理
- ¥15 神经网络预测均方误差很小 但是图像上看着差别太大
- ¥15 单片机无法进入HAL_TIM_PWM_PulseFinishedCallback回调函数
- ¥15 Oracle中如何从clob类型截取特定字符串后面的字符
- ¥15 想通过pywinauto自动电机应用程序按钮,但是找不到应用程序按钮信息
- ¥15 如何在炒股软件中,爬到我想看的日k线