Где я могу найти хороший охват стандартных методов санации данных?

Question

У меня есть три книги, на которых, посвященных PHP или PHP & MySQL, можно было бы ожидать, что можно найти какое-то покрытие по санации данных, но мне не повезло. Есть ли в сети надежный ресурс, который охватывает основы очистки ваших данных, как до помещения их в БД, так и до их отображения после извлечения из БД?

Answer 1

Ну, Stackoverflow - это такой ресурс.Ваш вопрос задают два раза в день.

Я написал довольно приличный ответ на эту тему ранее: В PHP при отправке строк в базу данных я должен позаботиться о недопустимых символах с помощью htmlspecialchars () или использоватьрегулярное выражение?

Короче говоря: для создания динамического запроса mysql у вас есть четыре различные экранирующие регистры:

• строковые данные
• int data
• идентификаторы
• операторы

и пресловутый PDO охватывает только два из них.

для HTMLhtmlspecialchars с ENT_QUOTES вполне достаточно.
Однако есть и другие случаи, такие как санация имени файла, внедрение почты и т. п.

Answer 2

Используйте PDO и привязку или подходящую функцию escape-строки для mysql для ввода данных.

Используйте htmlspecialchars с ENT_QUOTES иисправьте кодировку данных для отображения на выходе.

Answer 3

Крис Шиффлет написал книгу под названием Essential PHP Security .