For a secure url query, what is more secure? filter_var($string, FILTER_SANITIZE_SPECIAL_CHARS) or htmlentities ?
2条回答 默认 最新
dongsuikai8286 2010-07-06 17:37关注What are you defending against? A vulnerability is highly dependent on how the data is being used. Its impossible to create 1 function call that protects against everything, and mixing protection systems (like xss and sql injection) is a very bad idea.
For XSS you should use:
htmlspecialchars($var, ENT_QUOTES);For Sql Injection in mysql you should use
mysql_real_escape_string($var);If you are passing user input to
system()or another similar function then you should useescapeshellarg($var);These are the top 3 and mixing these will cause nothing but problems.
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报
分享
- 2020-10-19 11:543. **用户资料信息** 的过滤可以使用 `filter_var()` 和 `filter_input()` 函数,它们能过滤和验证各种类型的数据,如邮箱、URL等。 **验证** 数据是确保输入符合预期规则的关键步骤。除了 `filter_var()` 进行基本...
- 2023-01-18 17:14例如,如果一个字段应该接受电子邮件地址,那么可以使用PHP的`filter_var`函数进行验证。 2. **数据转义**:对用户输入进行转义,防止它们被解释为HTML或JavaScript代码。PHP提供了`htmlspecialchars`函数,它可以...
- 2021-03-28 08:14weixin_39553653的博客 前言一般,咱们获取请求参数的方法为直接访问超全局变量:$_GET,$_POST,$_SERVER,$_ENV,$_COOKIE,而在 php5.2 中,内置了 filter 模块,用于变量的验证和过滤等操做。过滤器函数简化了代码结构,相对于直接访问超全局...
- 2021-04-12 15:23弄哭你的博客 1、过滤输入过滤输入是指转义或删除不安全的字符。在数据到达应用的存储层之前,一定要过滤输入数据,这是第一道防线。假如网站的评论框接受HTML,用户可以随意在评论中加入恶意的标签,如下所示:这篇文章很有用!...
- 2020-11-05 21:00HuaSir_X的博客 简介 PHP是一种动态语言,在Web...下面是几种通用的输入过滤方法,目的是清除或替换有害字符,主要针对SQL注入和跨站脚本漏洞。 显式类型转换 在SQL语句查询等情况下,需要安全的使用数字字符,为了确保字符中仅包含数
- 2021-03-16 23:54曹文雯的博客 PHP 安全三板斧:过滤、验证和转义之过滤篇 & Laravel底层SQL注入规避由 学院君 创建于4年前, 最后更新于 1年前版本号 #328413 views19 likes0 collects我们在开发应用时,一般有个约定:不要信任任何来自不受...
- 2021-03-22 20:29weixin_39926540的博客 PHP htmlentities() 函数把字符转换为 HTML 实体:过滤html标签
- 2020-10-26 17:07$clean['filename'] = filter_var($_GET['filename'], FILTER_SANITIZE_URL); $contents = file_get_contents($clean['filename']); ?> ``` 2. **谨慎处理返回内容**:即使文件名经过了过滤,返回的内容也可能包含...
- 2021-04-29 02:48柴犬kobe的博客 例如以下这些外部源:$_GET$_POST$_REQUEST$_COOKIE$argvphp://stdinphp://inputfile_get_contents()远程数据库远程API来自客户端的数据所有这些外部源都可能是攻击媒介,可能会(有意或无意)把恶意数据注入PHP脚本。...
- 2020-10-29 02:43例如,对于电子邮件地址,应使用`filter_var()`函数验证;对于数字,使用`is_numeric()`或`preg_match()`等函数。 6. **不使用安全的密码存储**:不要明文存储用户密码,而应使用哈希算法(如bcrypt或scrypt)并加...
- 2021-04-27 05:52邹小樱的博客 现在有很多php开发框架都提供关于防XSS攻击的过滤方法,下面和大家分享一个预防XSS攻击和ajax跨域攻击的函数,主要去除了script等标签,下面直接上代码,不断的增加完善改进中。//去除xxs的攻击的公共方法public ...
- 2011-11-02 16:43yananwang的博客 PHP 5.2 以上提供了一个非常简单好用的自带函数 filter_var ,下面是对这个函数使用的详细介绍。 验证数据类型是否为boolean 举例: <?php $value01 = TRUE; if(filter_var($value01,FILTER_VALIDATE_...
- 2024-04-18 15:41wxjing1的博客 在文件上传过程中,$_FILES变量中包含了文件的大小、类型等信息。...(2)文件执行权限不当:PHP服务器在保存上传文件时,如果没有正确设置或检查文件的执行权限,黑客可能通过上传恶意文件来执行任意代码。
- 2017-10-04 14:50Gtaker的博客 通常,我们取得参数的方法为直接访问超全局变量:$_GET,$_POST,$SERVER,$_ENV,$_COOKIE,而在 php5.2 中,内置了filter模块,用于变量的验证和过滤,过滤变量等操作。过滤器函数简化了代码结构,相对于直接访问超全局...
- 2025-06-12 00:16深山技术宅的博客 PHP防XSS攻击方案摘要(148字): PHP防范XSS攻击的核心措施包括:使用htmlspecialchars()或htmlentities()转义HTML输出,设置Content Security Policy(CSP)头部限制脚本来源,通过filter_var()过滤输入数据。...
- 2019-03-25 10:37珊瑚贝的博客 实际开发中,总有人有意或无意的把危险数据注入PHP代码中,因此PHP安全编程变得和重要,一般我们处理外部输入安全思路是:过滤输入、验证数据。 过滤输入 过滤输入是指将来自外部数据中不安全的字符转义或删除。 ...
- 2024-06-26 23:50web网安小白的博客 在数据交互中,前端的数据传入到后台处理时,由于后端没有没有做过滤或过滤不严,则会导致其传入的恶意“数据”拼接到SQL语句中,被当作SQL语句的一部分执行。漏洞产生于脚本,注入是针对数据库进行。利用条件:从...
- 2018-09-19 19:33hixiaoyang的博客 PHP学习线路图 PHP教程 PHP教程 PHP简介 PHP环境设置 PHP语法概述 PHP变量类型 PHP常量类型 PHP运算符类型 PHP 条件语句 PHP循环语句 PHP数组 PHP字符串操作 PHP Web概念 PHP的GET...
- 2021-04-02 08:37凹凸曼喜欢小怪兽的博客 对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的...
- 2021-04-17 02:45珠仪的博客 本人新手,在《PHP安全编码》中提到“不要直接使用$_GET”,同时又提到“可以尝试在php.ini中开启magic_quotes_gpc,这样对于所有由用户GET、POST、COOKIE中传入的特殊字符都会转义”,我很纠结,是否开启magic_...
- 没有解决我的问题, 去提问
