htmlentities - 如何在 PHP 中保持表单安全？

Question

我有一个需要主题、姓名、电子邮件和消息的小型联系表单。所有这些字段都经过以下处理：

function sanitize($string){
    return htmlentities($string, ENT_QUOTES, 'UTF-8');
}

我使用 PHP 中的 mail() 函数发送电子邮件，并使用 subject 字段作为电子邮件标题/主题。问题是在主题中我有一个单引号：

I'd like to explore

但是在我清理它之后，我在收件箱中收到了电子邮件，但是那个单引号被清理了并且看起来像这样：

I'd like to explore

如何确保我的表单安全，但同时如何让我的电子邮件主题使用单引号而不是 'd-thing？

Answer 1

您使用您的sanitize 函数存储数据，如果您想显示数据，您需要“去消毒”为原始格式。

$str = 'I'd like to explore';

echo html_entity_decode($str, ENT_QUOTES, 'UTF-8');

严格来说，存储任何数据都不会带来安全风险。然而，数据存储的过程可能会导致安全问题。使用 HTML 实体通常用于将数据存储在数据库中并在以后使用。但是存储这些数据的更好方法是使用准备好的语句，这完全没有必要。

问题真的是，您要清理的存储是什么。

Answer 2

htmlentities 用于在您自己的网站上将用户生成的内容打印为 HTML 时使用。用户生成的内容可能包含破坏 HTML 的符号，因此它用 HTML 实体替换字符。 （错误的' 可能会终止字符串，或者如果巨魔插入</div>，您网站的整个布局就会中断。）

'-thing 是'，而是，从任何 html-rendering-engine 的角度来看，都是一个撇号，并且将这样显示。你可以找到a list of these entities online。

该过程的逆过程是html_entity_decode，以便再次从中获取纯文本。

关于保持表单安全的用例：htmlentities 不适合做这件事。

如果您想以纯文本形式发送该电子邮件，请将其保留为纯文本。确实，您不应该信任用户生成的内容和行为，但是您应该防范数据库插入问题（准备好的语句）并防止在表单本身上重复 POST，以免向人们发送垃圾邮件。

然而，将用户输入视为原始文本并将该内容作为原始文本发送并没有固有的危害。 （如果您想发送包含用户生成内容的 HTML 电子邮件，那么 htmlentities 也会派上用场。）

Answer 3

消毒是在上下文中完成的。换句话说，您应该知道您正在“清理”什么：SQL 注入、html 脚本攻击等等。考虑到这一点，正确的方法是分别处理每个问题：在存储在数据库中时清理 SQL 注入，但尽可能将数据存储在“原始”附近。这意味着数据库中的数据将被“净化”。然后，根据您打算如何处理数据，您相应地对其进行处理：发送电子邮件？只是转储内容。在网页上显示？ html_entities它。

请注意，每次输出内容时不必使用消毒剂处理的“优化”问题是不同的。如果需要，必须单独处理。

多年来，这已证明对我来说是一种合理的方法。