Ich sehe, es gibt eine Menge reden hier darüber, wie man Daten bereinigen wird. Könnte es so einfach sein wie das Hinzufügen dieser Rewrite-Regel zu .htaccess?Sanitize GET-Abfrage mit Apache
Zu meinem Verständnis erlaubt dies nur Buchstaben, Zahlen, _ und - in $ 1, bin ich richtig?
Wenn Sie diese Verwendung von vorbereiteten Anweisungen für SQL-Abfragen hinzufügen, sollte es ziemlich Beweis sein, ist das richtig?
Irgendwie fühlt sich an wie zu einfach, um wahr zu sein, fehle ich etwas, irgendwelche Möglichkeiten, es zu festigen?
Was würden Sie als weiteren Sicherheitsschritt vorschlagen, wenn wir über die Verwendung für SQL-Abfragen sprechen - kann url_decode etwas nützen? Auch über XSS durch HTML-Ausgabe, verhindert das Strippen> nicht das Vorhandensein von HTML? Tut mir leid, wenn Fragen ein wenig uninformiert klingen, genau darum frage ich. – CodeVirtuoso
@Freelancer Die vorbereiteten Anweisungen von PDO oder mysqli gelten als ausreichender Schutz gegen die Injektion. Es besteht keine Notwendigkeit, etwas anderes zu tun. Re XSS, lassen Sie mich einen Link –
@ Freelancer Re XSS, Ausführen 'htmlspecialchars()' auf beliebigen Benutzerdaten vor der Ausgabe in HTML ist obligatorisch. Hier ist eine Antwort, die behauptet, dass 'strip_tags()' auch notwendig ist, um vor einem eher exotischen Angriff zu schützen: http://stackoverflow.com/questions/3623236/htmlspecialchars-vs-htmlentities-when-concerned-with-xss aber Ich bin mir nicht sicher, was ich davon halten soll - ich persönlich denke 'htmlspecialchars()' wird es tun. –