[討論] 安全性，injection，過濾與跳脫 GALINE PTT批踢踢實業坊

[討論] 安全性，injection，過濾與跳脫

作者: GALINE (天真可愛CQD) 2017-12-03 02:19:36

在 5.6 -> 7.1 的討論串看到一些安全相關的對話
感覺有些東西值得單獨拿出來討論
我自己的意見是這樣：
- 不要一開始就把資料做跳脫，只有到最後要把資料餵出去給其他地方的時候才做
- 例如，做 SQL 的那一行，或寫 HTML 那行
- 設計來幹什麼的 function，就只拿來幹什麼
- htmlentities 只處理 html，不處理 SQL injection
- 不要用 addslashes 跟 magic quote
- 如果可以的話，不要自己組 SQL/HTML/Javascript
- 從根本確保沒有 injection 這件事

作者: bakedgrass (蒙古烤小草) 2017-12-03 10:26:00

謝謝分享

作者: miniear (Littlear) 2017-12-03 16:09:00

謝謝大大分享~~

作者: xdraculax (首席怪叔叔) 2017-12-03 19:43:00

推

作者: st1009 (前端攻城師) 2017-12-03 19:48:00

推！

作者: MangoTW (不在線上) 2017-12-04 01:10:00

推正確觀念

作者: Kenqr (function(){})() 2017-12-04 16:34:00

推

作者: tkdmaf (皮皮快跑) 2017-12-04 19:58:00

最近ios群就有個討論，後端要求APP端的請求自行加上\，我很想跟他說請用力往後端的肚子正拳貫下去……

作者: JohnRoyer (Zero 日落) 2017-12-05 11:35:00

推

作者: ddoomm (doom) 2017-12-05 14:59:00

作者: cryinglove (毓™) 2017-12-14 19:07:00

好文不推，怎對得起自己

作者: shvanta (vant) 2017-12-19 10:14:00

這邊真的讚, 之前工作看到有人把Escape過的資料存進DB,真是吐血. 他以為那個內容只有他網頁會用嗎...

繼續閱讀

Re: [請益] https和wss是否有“關聯性”?gpmm [情報] PHP 7.2GALINE Re: [請益] 下拉式選單內容如何套用外部檔案piligo [請益] https和wss是否有“關聯性”?red0whale [請益] 下拉式選單內容如何套用外部檔案piligo [請益] Discuz3.2Xthunde114 [請益] 不小心寫出無限迴圈red0whale [討論] session的確切生命週期red0whale [請益] 金流serverpost無法背景接收資料sagenegi [請益] 綠界金流串接a9509028