使用PHP進行安全輸入數據處理

Question

我正在編寫一個代碼，用於處理註冊表單中的用戶文本輸入。我已實現了以下功能，確保輸入的數據是安全的：

function input_check($Indata, $dbc) {  // input_check($Indata, $dbc) 
    $Indata = trim($Indata);    // remove white spaces 
    $Indata = stripslashes($Indata);  // remove back slashes 
    $Indata = strip_tags($Indata);   // remove html tags 
    $Indata = htmlspecialchars($Indata); // convert html entities 
    $Indata = mysql_real_escape_string($Indata,$dbc); 
    return $Indata; 
} 

有，我有，爲了做到以確保輸入是安全的任何其他處理？

我的意思是安全的惡意輸入數據

Answer 1

你的戰略，利用一切可能的逃逸機制可能是安全的，但會使你的應用程序太複雜 - 想象一下，你需要做的，使用的數據（這似乎稍後存儲在MySQL數據庫中，對嗎？）稍後將其以HTML格式打印出來。

更明智的做法是，根據用途的數據的只使用足夠逃逸機制：

• 將數據存儲在一個MySQL數據庫，使用數據庫逃逸機制（順便說一句，而不是mysql_real_escape_string()它已過時，使用PDO::quote()甚至更​​好的使用parameter binding這已經沒有逃脫你）
• 打印在HTML文本中存儲的數據使用htmlspecialchars()，可能連同strip_tags()
• 打印在HTML屬性存儲數據使用htmlspecialchars()與urlencode()

...等等。那麼你很可能會安全的SQL注入，XSS攻擊等。