1
有人能给我一份我需要注意的事情清单吗?到目前为止,我只听说过SQL注入和特殊字符。网站:用户将文本输入到字段中 - 我必须注意什么?
那里还有什么,以及我需要采取哪些预防措施?为了更具体一点,我使用AJAX和PHP作为我的服务器端语言,MySQL使用我的数据库系统。
谢谢。
A
回答
0
我不知道这是否回答你的问题,或者如果这是你正在寻找的答案,但我通常将所发布的变量传递给mysql_real_escape_string,它会转义所有特殊字符并防止注入。
1
首先,与数据库交谈:
您需要使用一种机制,防止SQL injection attacks通过输入到数据库;最可靠的机制是每当接受任何类型的用户提供的输入时总是使用parameterized queries。
其次,将数据返回给用户:
无论何时从数据库中检索用户提供的数据,并将其打印到用户,必须escape all HTML elements以防止用户注入CSRF,XSS或类似的攻击给其他观众。
1
用户输入文本字段 - 我有什么需要注意的?
绝对没有!接受来自用户输入的任何和所有信息没有问题。
问题是你如何处理这个输入。一些想法:
- 连接用户输入以形成SQL查询可能会导致
SQL injection。 - 将用户输入应用于固定长度的缓冲区可导致
buffer overflows。 - 将用户输入返回到HTML页面可能导致
cross site scripting。 - 用作服务器上运行命令的一部分的用户输入可能会导致
arbitrary command execution。 - ...
你看,是绝对没有,你需要关心用户的输入。相反,你需要确保用户输入不能被“注入”到你的服务器上做SQL,缓冲,HTML或命令执行。另外,您需要确保用户输入实际上符合您后端的类型规范(即,人们可以轻松地操纵输入以将任何内容发送回服务器,这可能会导致在后端生成异常) 。最后,用户可以频繁操作参数来欺骗自己的身份,如果你不善链接客户端请求到后端授权的交易。
+0
+1特别感谢包括任意命令执行,我忘记了一些应用程序严重依赖于外部命令。 – sarnold 2011-02-06 09:20:33
相关问题
- 1. 为什么我必须输入两次?
- 2. 输入网站到文本字段中,点击开始,然后人从我的网站进入网站
- 3. 将文本字段中的用户输入存储到NSArray中
- 4. Angular 2阻止用户将某些字符输入到文本输入字段
- 5. 为什么JUnit中的@Rule注释字段必须公开?
- 6. 为什么我们必须在网站应用程序中写入robots.txt?
- 7. 控制台应用程序到服务 - 我必须注意什么吗?
- 8. 在部署cakephp网站之前必须要注意的事情
- 9. 为什么用户必须输入两次正确的凭证?
- 10. 这是什么意思“输入必须是一个列表”?
- 11. 将zipcode输入到文本字段
- 12. 必须首先在HTML文档上输入文字或注释?
- 13. 为什么用户必须输入“Profile”数据才能将数据输入到其他表格中?
- 14. 我必须学习/使用什么来实现本网站的折叠动画?
- 15. 机器人:用户输入到文本字段中好康
- 16. 如何将文本输入到使用java的网站?
- 17. 当我们要使用用户输入时,为什么我们必须清除ax注册表?
- 18. 使用移动应用程序将字段输入到网站中?
- 19. Heroku。我必须输入ProcFile?
- 20. 为什么我必须将dataType设置为文本?
- 21. SeleniumIDE只能将文本输入到输入字段中?
- 22. 用户在文本字段中输入什么内容并将其存储在文本文件中?
- 23. 客户必须在prestashop打开网站时注册
- 24. 只有1个输入字段是必须在我的形式
- 25. 将文本字段值输入到URL中
- 26. 我必须注册在WordPress
- 27. 我必须做一个循环,用户输入,直到“完成”输入
- 28. Orchard CMS输入字段与文本字段有什么不同?
- 29. 为什么我必须在exec脚本中输入数据两次?
- 30. 我必须使用什么trustlevel?
你真的应该阅读代码完成作为一个新的程序员。它会给你一些关于这个话题的很好的建议。另外,请阅读这篇文章http:// www。joelonsoftware.com/articles/Wrong.html的一些伟大的提示。 – jcolebrand 2011-02-06 01:49:17