我创建了一个表单(在 ColdFusion 中)向数据库提交一个值,然后显示插入的值。问题是,当用户或黑客插入 HTML 标签或 javascript 标签时,ColdFusion 也会将其显示为输出值。
我知道有一些方法可以在使用 CFset 提交时过滤特殊字符,但我不想使用该方法。所以不是这样的:
<cfset cleanmessage = ReReplace(getmessages.message, "[^\w]*", "", "ALL")>
有没有其他方法仅显示输出时过滤特殊字符(<@#!$%^*(&>)?
最佳答案
你应该(至少)做这两件事来净化用户输入:
- 使用
<cfqueryparam ... >
为 SQL 清理数据.这通过转义特殊的 SQL 字符和序列来防止 SQL 注入(inject)攻击。 - 在使用
HTMLEditFormat()
显示数据时清理数据.这通过转义特殊的 HTML 字符来防止各种客户端漏洞。
如果您想进一步提高安全性,Portcullis看起来是一个很好的解决方案(虽然我自己没有使用过)。
关于 <cfset ... >
的使用: 您可以使用类似 HTMLEditFormat()
的函数不使用cfset
.无需创建新变量来存储函数的结果,只需在调用函数时显示结果,如下所示:<cfoutput>#HTMLEditFormat(data)#</cfoutput>
关于cfml - 禁用查询的 HTML 输出,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15721368/