我目前正在使用以下 PHP 类将 html、css 和 javascript 代码存储到我的 mysql 数据库中。
function filter($data) {
$data = trim(htmlentities(strip_tags($data)));
if (get_magic_quotes_gpc())
$data = stripslashes($data);
$data= strip_tags($data);
$data = mysql_real_escape_string($data);
return $data;}
我真的想知道使用的代码是否足够安全以将 HTML/CSS/JS 代码存储在 mysql 数据库中?
最佳答案
是的,MySQL 可以在技术上安全地存储任何类型的文本。这意味着,MySQL 将按原样保存文本,并在不丢失任何数据的情况下再次返回它。
Mysql 对文本内容没有区别,所以无论是 HTML、CSS、JS 代码还是您 friend 的最后一封电子邮件都没有区别。
但是,如果稍后输出文本,则应注意在从 mysql 中提取数据后没有不需要的代码注入(inject)。但这实际上与 MySQL 无关。
为了让你的 sql 更安全,将数据库句柄传递给 mysql_real_escape_string
或者更好地使用 MySQLi 和/或 PDO 和准备好的语句。
你的代码
您的代码看起来像是在尝试很多东西来阻止某些事情,但最终结果却毫无用处:
function filter($data) {
$data = trim(htmlentities(strip_tags($data)));
if (get_magic_quotes_gpc())
$data = stripslashes($data);
$data= strip_tags($data);
$data = mysql_real_escape_string($data);
return $data;}
在处理数据之前标准化数据
首先,您应该更改
get_magic_quotes_gpc
的检查位置以规范函数正在处理的数据。如果您的应用程序不依赖它而只是在启用该选项时拒绝工作,那就更好了 - 如果您关心安全性,则为 see this important information here about that 。但是为了您发布的代码的安全性,让我们首先将输入值标准化为函数,然后再进一步处理它。这是通过将支票移到函数顶部来完成的。
function filter($data)
{
// normalize $data because of get_magic_quotes_gpc
$dataNeedsStripSlashes = get_magic_quotes_gpc();
if ($dataNeedsStripSlashes)
{
$data = stripslashes($data);
}
// normalize $data because of whitespace on beginning and end
$data = trim($data);
// strip tags
$data = strip_tags($data);
// replace characters with their HTML entitites
$data = htmlentities($data);
// mysql escape string
$data = mysql_real_escape_string($data);
return $data;
}
在这个修改后的函数中,魔术引号的东西(你不应该使用)已经移到它的顶部。这确保无论该选项是打开还是关闭,数据都将始终以相同的方式处理。您的函数没有这样做,它会为传递的相同数据创建不同的结果。所以这已经被修复了。
你的函数有更多问题
即使功能现在看起来更好,但它仍然存在许多问题。例如,不清楚该函数实际做什么。它同时做很多事情,其中一些是矛盾的:
$data
不应包含 HTML 的标志 $data
的文本转换为实际包含 HTML 实体。 那么数据应该是什么? HTML 与否?如果事情变得不清楚,它不会引入更多的安全性,因为这将有利于错误进入您的程序,最终甚至可以通过您的安全预防措施。
所以你应该扔掉代码并考虑以下几点:
所以如果你想让你的代码更安全,这不是把一堆函数扔到一些数据上,因为你认为这些是安全相关的。通过这样做,您不会使您的软件更安全,但会降低安全性。
关于php - 将 html/css/js 添加到 mysql 的最安全方法是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6395372/