คำถามติดแท็ก sanitization

ฉันพยายามหาฟังก์ชั่นที่ฉันสามารถผ่านสายทั้งหมดของฉันผ่านการฆ่าเชื้อ ดังนั้นสตริงที่ออกมาจะปลอดภัยสำหรับการแทรกฐานข้อมูล แต่มีฟังก์ชั่นการกรองจำนวนมากออกมีฉันไม่แน่ใจว่าสิ่งที่ฉันควรใช้ / ต้องการ โปรดช่วยฉันเติมลงในช่องว่าง: function filterThis($string) { $string = mysql_real_escape_string($string); $string = htmlentities($string); etc... return $string; }

161 php  filter  sanitization 

ฉันรู้ว่าการสืบค้น SQL แบบแปรผันเป็นวิธีที่ดีที่สุดในการฆ่าเชื้ออินพุตของผู้ใช้เมื่อสร้างเคียวรีที่มีการป้อนข้อมูลของผู้ใช้ แต่ฉันสงสัยว่าเกิดอะไรขึ้นกับการป้อนข้อมูลผู้ใช้และหลีกเลี่ยงคำพูดเดี่ยว ๆ นี่คือรหัส: sSanitizedInput = "'" & Replace(sInput, "'", "''") & "'" เครื่องหมายคำพูดเดี่ยวใด ๆ ที่ผู้ใช้ป้อนจะถูกแทนที่ด้วยเครื่องหมายคำพูดเดี่ยวสองชั้นซึ่งจะช่วยลดความสามารถของผู้ใช้ในการวางสตริงดังนั้นสิ่งอื่น ๆ ที่พวกเขาอาจพิมพ์เช่นอัฒภาคเครื่องหมายเปอร์เซ็นต์และอื่น ๆ ทั้งหมดจะเป็นส่วนหนึ่งของสตริงและ ไม่ได้ดำเนินการจริง ๆ เป็นส่วนหนึ่งของคำสั่ง เรากำลังใช้ Microsoft SQL Server 2000 ซึ่งฉันเชื่อว่า single-quote เป็นตัวคั่นสตริงเท่านั้นและวิธีเดียวที่จะหลีกเลี่ยงตัวคั่นสตริงดังนั้นจึงไม่มีวิธีดำเนินการใด ๆ กับผู้ใช้ประเภทใด ๆ ฉันไม่เห็นวิธีใดที่จะเปิดการโจมตีด้วยการฉีด SQL เพื่อต่อต้านสิ่งนี้ แต่ฉันรู้ว่าถ้านี่เป็นกระสุนที่ดูเหมือนกับฉันคนอื่นจะคิดว่ามันแล้วและมันจะเป็นเรื่องธรรมดา เกิดอะไรขึ้นกับรหัสนี้ มีวิธีการโจมตี SQL injection ผ่านเทคนิคการฆ่าเชื้อนี้หรือไม่ ตัวอย่างอินพุตของผู้ใช้ที่ใช้ประโยชน์จากเทคนิคนี้จะเป็นประโยชน์ UPDATE: ฉันยังไม่รู้วิธีการเปิดใช้การโจมตี SQL injection …

139 sql  security  sql-server-2000  sql-injection  sanitization 

ฉันพยายามหาฟังก์ชั่นที่ใช้งานได้ดีในการฆ่าเชื้อสตริงเพื่อให้พวกเขาปลอดภัยในการใช้ URL (เช่น post slug) และยังปลอดภัยที่จะใช้เป็นชื่อไฟล์ ตัวอย่างเช่นเมื่อมีคนอัปโหลดไฟล์ฉันต้องการให้แน่ใจว่าฉันลบตัวละครอันตรายทั้งหมดออกจากชื่อ จนถึงตอนนี้ฉันได้พบกับฟังก์ชั่นต่อไปนี้ซึ่งฉันหวังว่าจะแก้ปัญหานี้และอนุญาตให้ใช้ข้อมูล UTF-8 จากต่างประเทศได้เช่นกัน /** * Convert a string to the file/URL safe "slug" form * * @param string $string the string to clean * @param bool $is_filename TRUE will allow additional filename characters * @return string */ function sanitize($string = '', $is_filename = …

136 php  url  filenames  sanitization 

ฉันกำลังมองหาฟังก์ชัน php ที่จะล้างสตริงและทำให้พร้อมใช้งานสำหรับชื่อไฟล์ มีใครรู้บ้างว่ามีประโยชน์ไหม? (ฉันเขียนได้ แต่ฉันกังวลว่าฉันจะมองข้ามตัวละครไป!) แก้ไข: สำหรับบันทึกไฟล์ในระบบไฟล์ Windows NTFS

113 php  string  sanitization 

ฉันพยายามที่จะแปลงตัวอักษรขึ้นบรรทัดใหม่ ( \n) เป็น HTML br's ตามการสนทนานี้ใน Google Groupนี่คือสิ่งที่ฉันได้รับ: myApp.filter('newlines', function () { return function(text) { return text.replace(/\n/g, '<br/>'); } }); การอภิปรายยังแนะนำให้ใช้สิ่งต่อไปนี้ในมุมมอง: {{ dataFromModel | newline | html }} ดูเหมือนว่าจะใช้htmlตัวกรองเก่าในขณะที่ตอนนี้เราควรใช้ng-bind-htmlแอตทริบิวต์ ไม่ว่าสิ่งนี้จะทำให้เกิดปัญหา: ฉันไม่ต้องการให้ HTML ใด ๆ จากสตริงดั้งเดิม ( dataFromModel) แสดงผลเป็น HTML เฉพาะbrของ ตัวอย่างเช่นกำหนดสตริงต่อไปนี้: ในขณะที่ 7> 5 ฉันยังไม่ต้องการ html & ของที่นี่ ... …

87 javascript  html  angularjs  sanitization