应该先执行哪一个？消毒或验证

Question

我的注册表单中有一个字段，例如包含name 字段，它将存储在数据库中名为user_name varchar(20) 的字段中。很明显，我应该验证用户输入 如果我首先使用以下代码验证此字段：

<?php
 if(emptiy($_pos['name']) || strlen($_post['name'])>20)
 //send an not valid input error
 else{
 $name=htmlspcialchars($_post['name']);
 //check for sql injection;
 //insert name into database;}
?>

如果用户插入像<i> some one </i> 这样的名称，则字符串长度为17，因此else 部分将执行，名称将为<i&gt some one </i>，长度为28，此时插入db.in 时会产生错误如果我向用户发送一个错误，说他/她的输入太长了，他会感到困惑。我该怎么办？最好的方法是什么？

Answer 1

一般来说，首先应该进行消毒 - “为了您和他们的保护。”这包括删除任何无效字符（当然，字符编码敏感）。如果一个字段应该只包含字符和空格，那么首先去掉所有不是的。

完成后，您可以验证结果 - 名称是否已使用（用于唯一字段）、大小是否正确、是否为空白？

您给出的原因恰恰是正确的——最大化用户体验。如果可以避免，请不要混淆用户。这有助于防止愚蠢的复制和粘贴行为，但您必须小心 - 如果我希望将我的名字记录为“Ke$h@”，我可能会也可能不会将其更改为“Keh”。

其次，也是为了防止bug。

当您想要创建不允许特殊字符的用户名时会发生什么？如果我输入“Brian”，而您的系统拒绝将其作为我们已在使用的名称，那么我提交“Brian$”？首先你验证它，它没有被使用，然后你去掉特殊字符，剩下的是“Brian”。哦，现在您要么必须再次验证，要么会收到一个奇怪的错误，即帐户创建失败（例如，如果您的数据库设置为需要唯一的用户名），或者更糟的是它会成功并覆盖/损坏发生在用户用户帐户上。

另一个例子是最小字段长度：如果你要求一个名字至少有 3 个字母长并且只接受字母，而我输入“no”你会拒绝它；但如果我输入“no@#$%”，您可能会说它是有效的（足够长），对其进行清理，现在它不再有效，等等。

避免这种情况的简单方法是先进行消毒，然后您就不必再三考虑验证了。

然而，Niet 关于在存储之前不对数据进行编码是正确的；通常，在适当的时候将输出设置为 HTML 编码要容易得多，然后记住在您只需要纯文本（输入文本框、JSON 字符串等）时对其进行解码。您将使用的大多数测试用例不会包含 HTML 实体的数据，因此很容易引入不易发现的愚蠢错误。

最大的问题是，当引入这样的错误时，它会很快导致数据损坏，不容易解决。示例：您有纯文本，将其错误地作为 html 实体输出到文本字段，表单被提交回来并重新编码……每次打开/重新提交时，它都会重新编码。对于繁忙的站点/表单，您最终可能会得到数千个不同编码的条目，而没有明确的方法来确定哪些应该和哪些不应该进行 HTML 编码。

防止注入是好的，但 HTML 编码的设计目的不是（也不能依赖）来做到这一点。

Answer 2

不，您应该先验证。执行清理以处理作为最后一步的数据存储级别。如果业务规则没有通过验证阶段，那么接近数据存储级别是没有意义的。如果您需要一个数字并且给您一个字符串，那是一个错误，因此您将它们发送回表单。 如果您将 SQL 与准备好的语句一起使用，并且实际上会破坏输入，则不需要在需要时（从 5.4 起不需要）进行除条斜线之外的清理。