Нужно ли защищать ввод от пользователей, когда я вставляю эту информацию в файл?

Question

Итак, мы все знаем, что если пользователь вводит что-то во ввод, и мы помещаем это в базу данных, мы должны сделать это безопасным (использовать mysql_escape_string и т. Д.).

Но когда мы добавляем пользователявход в файл, нужно ли защищать его (кроме htmlspecialchars)?

Спасибо.

Answer 1

Это сильно зависит от того, что произойдет с данными впоследствии.Вам не нужно избегать этого (поскольку не существует такой вещи, как «инъекция файла»), но вы должны быть осторожны при печати содержимого обратно в браузер.(strip_tags и / или htmlspecialchars)

Answer 2

Чтобы ответить на ваш вопрос напрямую, №

Answer 3

В общем, если у пользователя нет причин вводить определенный символ, не допускайте его. Я обычно реализую их с помощью белых, а не черных списков. Определите, как должно выглядеть допустимое поле, и разрешите только те символы, которые являются обязательными.

Answer 4

будут ли эти файлы когда-либо просматриваться таким образом, чтобы сделать клиентский процесс / компьютер уязвимым?

Если я внедряю вредоносный сценарий javascript, который причиняет вред вашей машине, имеет ли значение для вас, отображается ли он из БД или из файла в вашем браузере?