处理$_POST[]和$_GET[]变量

Question

目前我使用这个策略：

在提交一个HTML表单或使用jQuery的$.get()或$.post()发送的数据之后，我需要知道会发生什么，然后在此基础上应用逻辑。

假设我有$_POST['username'], $_POST['password']和$_POST['login_submit_button']。在我的处理脚本文件中，我这样做：

if(isset($_POST['login_submit_button']) && isset($_POST['username']) && $_POST['username'] != "" && isset($_POST['password']) && $_POST['password'] != "") {
  // calling a common function safe_vars() which does
  // mysql_real_escape_string(stripslashes(trim($any_variable_need_to_become_safe)))
  // and now using the above variables for different purposes like
  // calculation, insertion/updating old values in database etc.
}

我知道所有这些逻辑都是错误的，或者有严重的问题，所以我想要一个非常安全和完美的解决方案，而不是这样。我欢迎发现我的策略中的漏洞和严重的安全漏洞。这个问题也可以帮助其他人，如果答案更具解释性，这可以是信息丰富的社区维基。

Answer 1

没有办法让一个通用的超级“使事物安全”的函数。

mysql_real_escape_string

你根本不应该使用这个。它使用旧的mysql API，并假设您将手动将字符串打碎在一起来生成SQL。别干那事。使用PDO或mysqli以及一个处理准备好的查询和绑定参数的函数。

stripslashes

这是魔术语录的解毒剂。如果没有魔术引号，它将销毁数据。不要用它。取而代之的是关闭魔法引号。

trim

这会破坏数据。除非你真的想删除字符串开头和结尾的空格，否则不要使用它。

在将数据插入目标语言之前立即对该语言的数据进行转义。

对于SQL，则为use bound arguments and prepared queries。

对于超文本标记语言，可以使用htmlspecialchars或一种可以自动转义的模板语言，比如mustache。

或者，(如果您希望允许HTML)解析它，生成一个DOM，使用白名单对其进行过滤，然后将其序列化为HTML。

对于JSON，使用encode_json

等。

Answer 2

• 你只需要去掉斜杠如果你启用了htmlentities

(使用get_magic_quotes_gpc检查)

• 你应该使用filter_var、ctype_*或preg_match (以及检查长度和存在等约束条件)来过滤你的

• 变量<htmlentities

>H19preg_match>对你的查询使用准备好的语句/C10>，以确保使用POST正确过滤任何html输出

没有什么是万无一失的，但是以上是避免SQL注入/ XSS的良好实践。