[讨论] 安全性，injection，过滤与跳脱 GALINE PTT批踢踢实业坊

[讨论] 安全性，injection，过滤与跳脱

楼主: GALINE (天真可爱CQD) 2017-12-03 02:19:36

在 5.6 -> 7.1 的讨论串看到一些安全相关的对话
感觉有些东西值得单独拿出来讨论
我自己的意见是这样：
- 不要一开始就把资料做跳脱，只有到最后要把资料喂出去给其他地方的时候才做
- 例如，做 SQL 的那一行，或写 HTML 那行
- 设计来干什么的 function，就只拿来干什么
- htmlentities 只处理 html，不处理 SQL injection
- 不要用 addslashes 跟 magic quote
- 如果可以的话，不要自己组 SQL/HTML/Javascript
- 从根本确保没有 injection 这件事

作者: bakedgrass (蒙古烤小草) 2017-12-03 10:26:00

谢谢分享

作者: miniear (Littlear) 2017-12-03 16:09:00

谢谢大大分享~~

作者: xdraculax (首席怪叔叔) 2017-12-03 19:43:00

推

作者: st1009 (前端攻城师) 2017-12-03 19:48:00

推！

作者: MangoTW (不在线上) 2017-12-04 01:10:00

推正确观念

作者: Kenqr (function(){})() 2017-12-04 16:34:00

推

作者: tkdmaf (皮皮快跑) 2017-12-04 19:58:00

最近ios群就有个讨论，后端要求APP端的请求自行加上\，我很想跟他说请用力往后端的肚子正拳贯下去……

作者: JohnRoyer (Zero 日落) 2017-12-05 11:35:00

推

作者: ddoomm (doom) 2017-12-05 14:59:00

作者: cryinglove (毓™) 2017-12-14 19:07:00

好文不推，怎对得起自己

作者: shvanta (vant) 2017-12-19 10:14:00

这边真的赞, 之前工作看到有人把Escape过的资料存进DB,真是吐血. 他以为那个内容只有他网页会用吗...

继续阅读

Re: [请益] https和wss是否有“关联性”?gpmm [情报] PHP 7.2GALINE Re: [请益] 下拉式选单内容如何套用外部档案piligo [请益] https和wss是否有“关联性”?red0whale [请益] 下拉式选单内容如何套用外部档案piligo [请益] Discuz3.2Xthunde114 [请益] 不小心写出无限循环red0whale [讨论] session的确切生命周期red0whale [请益] 金流serverpost无法背景接收资料sagenegi [请益] 绿界金流串接a9509028