-
4 votesanswersviews
在WooCommerce中清理自定义结帐字段数据
在WooCommerce结帐字段定制文档之后:Customizing checkout fields using actions and filters 我已经通过 functions.php 向woocommerce结帐页面添加了自定义字段 . 我担心是否必须清理该自定义字段的用户输入? 我认为它不需要清理,因为它已经传入计费字段,如:$ fields ['billing'],这是正确的吗? 如... -
4 votesanswersviews
PHP输入消毒剂?
什么是一些好的PHP html(输入)清洁剂? 最好是,如果内置了某些东西 - 我希望我们这样做 . UPDATE : 根据请求,通过注释,输入应该 not 允许HTML(显然阻止XSS和SQL注入等) . -
126 votesanswersviews
我可以通过使用单引号转义单引号和周围用户输入来防止SQL注入吗?
我意识到参数化SQL查询是构建包含用户输入的查询时消毒用户输入的最佳方式,但我想知道使用用户输入并转义任何单引号并用单引号包围整个字符串有什么问题 . 这是代码: sSanitizedInput = "'" & Replace(sInput, "'", "''") & "'" 用户输入的任何单引号都被... -
30 votesanswersviews
在保留基本格式的同时,我可以使用什么来清理收到的HTML?
这是一个常见的问题,我希望它已经彻底解决了我 . 在我正在为客户端做的系统中,我们希望从不受信任的来源(HTML格式的电子邮件和HTML文件)接受HTML,清理它以使其没有任何脚本,指向外部资源的链接以及其他安全性/等等问题;然后安全地显示它,同时不丢失基本格式 . 例如,就像电子邮件客户端使用HTML格式的电子邮件一样,但理想情况下不会重复在该领域中已经发生的347,821错误(到目前为止) .... -
4 votesanswersviews
如何过滤掉像SO那样的危险HTML? [重复]
这个问题在这里已有答案: How to prevent XSS with HTML/PHP? 9个答案 Sanitizing HTML input 4个答案 我想在我的网站上提供一个HTML编辑器,但是不想让自己打开xss或其他允许用户生成HTML的攻击 . 这与Stack Overflow的功能非常相似 . 如何在这里检查/清理HTML以便样式信息仍然存在,而其他更危险的东西(如ja... -
0 votesanswersviews
MySQL HTML清理
我有一个网站将数据保存到MySQL数据库 我将它插入MySQL或在我的网站上显示时是否应该转义HTML? 理想情况下,我想将原始HTML输入到我的数据库中,每次从中取出时都要进行消毒 . 这样做有什么危险吗? 示例html: <h1>test</h1>