Web开发:管理后端应该如何锁定？

Question

我将在我的示例中使用PHP，但我的问题适用于任何编程语言。

每当我处理未登录的用户(换句话说，不受信任的用户)填写的表单时，我会做几件事来确保在数据库中存储是安全的：

Firebug)

• Verify

• 验证所有预期字段都存在于$_POST中(没有任何字段是使用诸如$_POST这样的工具删除的，而$_POST中没有意外字段。这样，数据库中的字段不会意外地被写入。

• 验证所有预期字段都是预期类型(几乎总是“字符串”)。这样，如果恶意用户正在修改代码并将"[]“添加到字段名的末尾，则不会出现问题，从而使PHP将字段视为数组，然后对其执行检查，就好像它是字符串一样。

• 验证所有所需字段都已填写完毕。

• 验证所有字段(包括必需的和可选的)都已正确填写(例如，电子邮件地址和电话号码都在预期的上一项的all中)，但是值得作为自己的项目:验证下拉菜单中的字段是否与下拉菜单中的值一起提交。同样，用户可以修改代码，并将下拉菜单更改为所有字段的want.

• Sanitize，以防用户有意或无意地包含恶意代码.

我不相信上面的任何东西都是过火的，因为，正如我提到的，填写表单的用户是不可信的。

然而，当涉及到管理后端时，我不确定所有这些事情都是必要的。我仍然认为这些是必要的：

format).

• Sanitize

• 验证所有必需字段都已填写完毕。

• 验证所有字段(包括必需字段和可选字段)都已正确填写(例如，电子邮件地址和电话号码都在预期的

字段中，以防用户有意或无意地包含恶意代码。)。

我正在考虑删除其余的项目，以节省时间，减少代码(因此，更易读的代码)。这是一件合理的事情，还是值得平等对待所有表单，而不管它们是否由受信任的用户填写？

这是我唯一能想到的两个原因，为什么平等对待所有表格可能是明智的：

• 可由不受信任的用户发现受信任用户的凭据。受信任用户的计算机
• 可能会被恶意软件感染，从而破坏表单。我从未听说过这样的恶意软件，并怀疑这是值得真正担心的事情，但无论如何也是值得考虑的事情。

谢谢!

Answer 1

不知道所有细节，很难说。

但是，一般来说，这感觉就像代码重用应该是可能的。换句话说，感觉这个锅炉板表单验证不需要为每个独特的表单重新编写。相反，我的目标是创建一些可用于任何表单的可重用外部类。

您提到了PHP，并且已经有许多可用的表单验证类：

http://www.google.com/search?gcx=w&sourceid=chrome&ie=UTF-8&q=form+validation+php+class

祝你好运！