PHP& mySQL:什么时候使用htmlentities?

时间:2010-01-16 14:20:19

标签: php mysql

平台: PHP& mySQL的

出于实验目的,我在自己的网站上尝试了一些XSS注射。考虑这种情况,我有我的表单textarea输入。由于这是一个textarea,我能够输入文本和各种(英文)字符。以下是我的观察:

A)。如果我只应用strip_tags和mysql_real_escape_string并且在将数据插入数据库之前不在我的输入上使用htmlentities,查询正在破坏并且我遇到显示我的表结构的错误,由于异常终止。

B)。如果我在将数据插入数据库之前在我的输入上应用strip_tags,mysql_real_escape_string和htmlentities,查询不会破坏,我能够成功地将textarea中的数据插入到我的数据库中。

所以我确实理解必须不惜一切代价使用,但不确定何时应该使用它。考虑到上述情况,我想知道:

  1. 什么时候应该使用htmlentities?是否应该在将数据插入数据库之前使用或以某种方式将数据导入数据库然后在我尝试显示数据库中的数据时应用htmlentities?

  2. 如果我按照上面B)中描述的方法(我认为这是我案例中最明显和最有效的解决方案),当我尝试显示来自中的数据时,是否还需要应用htmlentities D B?如果是这样,为什么?如果没有,为什么不呢?我问这个问题,因为在我查完帖子之后,我真的很困惑:http://shiflett.org/blog/2005/dec/google-xss-example

  3. 然后还有一个名为: html_entity_decode 的PHP函数。我是否可以使用它来显示我的数据来自DB(按照我的程序,如B点所示),因为我的输入应用了htmlentities?我应该选择哪一个:html_entity_decode和htmlentities以及什么时候?

    4. 预览页面

    我认为在这里添加一些特定情况的更具体细节可能会有所帮助。请考虑有一个“预览”页面。现在,当我从textarea提交输入时,Preview页面接收输入并显示html,同时隐藏的输入收集此输入。当点击预览按钮上的提交按钮时,来自隐藏输入的数据被POST到新页面,并且该页面将隐藏输入中包含的数据插入到数据库中。如果我在最初提交表单时不应用htmlentities(但仅应用strip_tags和mysql_real_escape_string)并且textarea中存在恶意输入,则隐藏的输入会被破坏,隐藏输入的最后几个字符会被视为{{1}在页面上,这是不可取的。因此,请记住这一点,我需要做一些事情以在预览页面上正确保留隐藏输入的完整性,然后收集隐藏输入中的数据,以便它不会破坏它。我该怎么做?对发布此信息的延迟表示道歉。

    提前谢谢。

4 个答案:

答案 0 :(得分:51)

这是一般的经验法则。

  

最后一刻撤消变量

您希望变量是数据的干净表示。也就是说,如果你试图存储名为“O'Brien”的人的姓氏,那么你肯定想要这些:

O'Brien
O\'Brien

..因为,那不是他的名字:里面没有&符或斜线。当您获取该变量并将其输出到特定上下文中时(例如:插入到SQL查询中或打印到HTML页面), 就是在您修改它时。

$name = "O'Brien";

$sql = "SELECT * FROM people "
     . "WHERE lastname = '" . mysql_real_escape_string($name) . "'";

$html = "<div>Last Name: " . htmlentities($name, ENT_QUOTES) . "</div>";

您永远不希望将htmlentities - 编码的字符串存储在您的数据库中。当您想要生成CSV或PDF或不是 HTML的任何内容时会发生什么?

保持数据清洁,只针对当下的特定环境进行转义。

答案 1 :(得分:5)

实质上,您应该在数据库插入之前使用mysql_real_escape_string(以防止SQL注入),然后在输出点使用htmlentities等。

您还需要对所有用户输入应用完整性检查,以确保(例如)数值真的是数字等。is_intis_float等函数很有用在此刻。 (有关这些函数和其他类似函数的更多信息,请参阅PHP手册的variable handling functions部分。)

答案 2 :(得分:5)

  1. 仅在您将值(无论是来自DB还是来自$ _GET / $ _ POST)打印到HTML之前。 htmlentities与数据库无关。
  2. B有点矫枉过正。你应该在插入数据库之前使用mysql_real_escape_string,然后在打印到HTML之前使用htmlentities。在htmlentities标签显示在屏幕上后,您不需要剥离标签。 b r /> e.t.c

    3. 从理论上讲,在插入数据库之前,您可能会做很多事情,但如果您需要原始文本,这可能会使进一步的数据处理更加困难。

    3. See above

答案 3 :(得分:0)

我以前经历过这个并且学到了两件重要的事情:

如果您从$ _POST / $ _ GET / $ _ REQUEST获取值并计划添加到DB,请使用mysql_real_escape_string函数来清理值。不要用htmlentities编码它们。

为什么不用htmlentities对它们进行编码并将它们放入数据库?嗯,这就是事情 - 目标是让数据尽可能有意义和干净,当你用像Jeff的狗变成Jeff&amp; quot; Dog ...这样的数据对数据进行编码时,会导致数据的上下文失去意义。如果您决定实施REST服务,并从DB中获取该字符串并将其置于JSON中 - 那么它就像Jeff&amp; quot; Dog,它不是很漂亮。您还必须添加另一个函数进行解码。

假设您想使用SQL“select * from table where field ='Jeff \'s Dog'”搜索“Jeff's Dog”,您将找不到它,因为“Jeff's Dog”与“Jeff&amp; quot”不匹配;狗。“不好,是吗?

要输出字母数字字符串(从CHAR类型)到网页,请使用htmlentities - 总是!

相关问题
最新问题