사용자 입력 및 출력 이스케이프 처리

Question

나는 이미 asked에 대해 살균 및 탈출에 관한 질문을했지만 나는 답변을 얻지 못했음을 알고 있습니다.

좋아, 여기 있습니다. 나는 PHP 스크립트를 가지고 있고 그것이 문제 것, MySQL 데이터베이스에서 사용자의 입력과 SELECT을 GET 경우 내가 htmlspecialchars, htmlentities 또는 strip_tags 및 중 하나를 사용하여 < 및 > 탈출하지 않은 경우/보안 위험 수 따라서 데이터베이스에서 HTML 태그를 선택/검색 할 수 있습니까? 입력이 trim(), mysql_real_escape_string 및 addcslashes (\ % _)을 사용하여 이미 삭제 되었기 때문에.

htmlspecialchars를 사용하는 문제는 사용자의 입력이 가능하도록되어 앰퍼샌드 (&), 탈출이다 (필자는 동일 htmlentities 간다 생각을?). strip_tags을 사용하면 "John"과 같이 PHP 스크립트가 John에게 결과를 선택하고 표시하게됩니다.

if(isset($_GET['query'])) { 
    if(strlen(trim($_GET['query'])) >= 3) { 
     $search = mysql_real_escape_string(addcslashes(trim($_GET['search']), '\%_')); 
     $sql = "SELECT name, age, address WHERE name LIKE '%".$search."%'"; 
     [...] 
    } 
} 

그리고 여기는 디스플레이 내 출력된다 : 여기

데이터베이스에서 선택하기 전에, 입력 살균 내 PHP 코드 인 "X 정합 Y 결과."

echo htmlspecialchars(strip_tags($_GET['search']), ENT_QUOTES, 'UTF-8')." matched y results."; 

Answer 1

이 문제를 해결하는 좋은 방법은 MySQLi를 사용하는 것입니다. MySQLi는 기본적으로 백엔드에서 모든 것을 이스케이프 처리하고 SQL 인젝션에 대한 강력한 보호 기능을 제공합니다. GET 데이터를 이스케이프 처리하지 않으면 다른 입력을 이스케이프 처리하지 않는 것처럼 위험합니다.

Answer 2

여기에는 두 가지 문제가 있습니다. SQL 문

당신은 쿼리를 작성하고 때마다의

사용자 데이터, 당신은 어떤 임의의 사용자 데이터가에서 생을 마감 없다는 것을 확신해야합니다. 이러한 오류는 SQL injection bugs이라고하며 데이터를 올바르게 이스케이프하지 못하면 발생합니다. 일반적으로 문자열 연결을 사용하여 쿼리를 작성해서는 안됩니다. 가능하면 언제든지 placeholders을 사용하여 데이터가 올바르게 이스케이프 처리되었는지 확인하십시오. HTML 문서에서

사용자 데이터

는 사용자가 제출 한 콘텐츠가 포함 된 페이지를 렌더링하고, 사용자가 HTML 태그 또는 스크립팅 요소 임의을 소개 할 수 있도록 탈출해야합니다. 이것은 XSS issues을 피할 수 있으며 & 및 <과 같은 문자가 잘못 해석되지 않음을 의미합니다. "x < y"의 사용자 데이터는 귀하의 페이지를 깨뜨리지 않습니다.

사용자 데이터를 렌더링하는 모든 컨텍스트에 대해 항상 이스케이프해야합니다. 스크립트 태그 내부 또는 URL과 같은 다른 것들이 있지만 가장 일반적인 두 가지 태그입니다.