在插入 MySQL 之前使用 htmlspecialchars() 好吗?

【问题标题】:Is it good to use htmlspecialchars() before Inserting into MySQL?在插入 MySQL 之前使用 htmlspecialchars() 好吗?
【发布时间】:2014-01-24 09:34:38
【问题描述】:

我对此有点困惑。我一直在阅读有关htmlspecialchars() 的信息,我打算将其用于文本区域POST 以防止XSS 攻击。我知道通常htmlspecialchars() 用于生成发送到浏览器的 HTML 输出。但我不确定的是:

1) 在将用户输入数据插入 MySQL 之前,使用htmlspecialchars() 是否安全?我已经在使用带有参数化值的 PDO 准备语句来防止 SQL 注入。

2) 或者,我真的不需要担心使用htmlspecialchars() 插入值(前提是它们是参数化的),并且只在我从 MySQL 获取结果并将其显示给用户时使用htmlspecialchars()

【问题讨论】:

  • #2 是正确答案
  • HTML 转义 (1) 与您的数据库并不真正相关。通常(2)是首选,因为过早的转义可能会干扰以后的网页以外的输出通道。对于新手来说,早期的 HTML 转义可能仍然是可取的;过早忘记总比忘记好。
  • 假设您想生成一些文本日志。然后,您将不得不撤消您的转义。而是在最后一刻逃跑,这样你就知道这是合适的。
  • 在插入数据之前应用业务规则(可能包括限制允许的字符),但在使用站点应用转义(因为这是只是在给定上下文中使用数据的实现细节)。
  • @blackops_programmer 如果您存储的文本是<a href='test'>Test</a>,目的是将其转换为真正的工作链接,则您必须在输出前对其进行解码。如果您希望它按字面意思显示为 HTML 标记,则一种编码将在浏览器中显示为 <a href='test'>Test</a>,而双重编码将显示为 <a href='test'>Test</a>两者都不会为您提供工作链接。跨度>

标签: php mysql sql pdo htmlspecialchars


【解决方案1】:

正如其他人指出的那样,#2 是正确答案。让它“原始”直到你需要它,然后适当地转义。

为了详细说明原因(我将重复/总结其他帖子),让我们将场景 1 推向逻辑极端。

当有人输入“' OR 1=1 <other SQL injection> --”时会发生什么。现在也许你决定因为你使用 SQL 你应该为 SQL 编码(也许是因为你没有使用参数化语句)。所以现在你必须混合(或决定)SQL 和 HTML 编码。

你的老板突然决定他也想要一个 XML 输出。现在,为了保持您的模式一致,您还需要为此进行编码。

下一个 CSV - 哦不!如果文本中有引号和逗号怎么办?更多的逃避!

嘿 - 一个漂亮的交互式 AJAX 界面怎么样?现在您可能想要开始将 JSON 发送回浏览器,所以现在 {、[ 等都需要考虑在内。救命!!

很明显,按照给定的方式存储数据(当然受域限制)并在在您需要时根据您的输出进行适当的编码。 您的输出与您的数据不同。

我希望这个答案不要太傲慢。感谢其他受访者。

【讨论】:

  • 非常感谢您为我总结并解释为什么 #2 将是最佳实践。 :)
猜你喜欢
  • 2012-12-11
  • 1970-01-01
  • 1970-01-01
  • 2011-11-12
  • 2019-02-11
  • 2017-08-15
  • 2010-10-27
  • 1970-01-01
  • 2016-01-24
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode