PHP和mySQL:何时使用htmlentities？

平台: PHP和mySQL

出于实验目的,我在自己的网站上尝试了一些XSS注射.考虑这种情况,我有我的表单textarea输入.由于这是一个textarea,我能够输入文本和各种(英文)字符.以下是我的观察:

一个).如果我只应用strip_tags和mysql_real_escape_string并且在将数据插入数据库之前不在我的输入上使用htmlentities,则查询会中断并且由于异常终止而导致显示我的表结构的错误.

B).如果我在将数据插入数据库之前在我的输入上应用strip_tags,mysql_real_escape_string和htmlentities,则查询不会中断,我能够成功地将textarea中的数据插入到我的数据库中.

所以我确实理解必须不惜一切代价使用,但不确定何时应该使用它.考虑到上述情况,我想知道:

什么时候应该使用htmlentities？它是应该在将数据插入数据库之前使用还是以某种方式将数据导入数据库然后在我尝试显示来自数据库的数据时应用htmlentities？

如果我按照上面B)中描述的方法(我认为这是我案例中最明显和最有效的解决方案),当我尝试显示数据库中的数据时,是否还需要应用htmlentities？如果是这样,为什么？如果没有,为什么不呢？我问这个问题,因为在我查看了这篇帖子之后,我真的很困惑:http://shiflett.org/blog/2005/dec/google-xss-example

然后还有一个名为html_entity_decode的 PHP函数.我是否可以使用它来显示我的数据来自DB(按照我的程序,如B点所示),因为我的输入应用了htmlentities？我应该选择哪一个:html_entity_decode和htmlentities以及何时？

预览页面:

我认为在这里添加一些特定情况的更具体细节可能会有所帮助.请考虑有一个"预览"页面.现在,当我从textarea提交输入时,Preview页面接收输入并显示html,同时隐藏的输入收集此输入.当点击预览按钮上的提交按钮时,来自隐藏输入的数据被POST到新页面,并且该页面将隐藏输入中包含的数据插入到数据库中.如果我在最初提交表单时不应用htmlentities(但仅应用strip_tags和mysql_real_escape_string)并且textarea中存在恶意输入,则隐藏的输入会被破坏,隐藏输入的最后几个字符会被视为 " />在页面上,这是不受欢迎的.因此,请记住这一点,我需要做一些事情以在预览页面上正确保留隐藏输入的完整性,然后收集隐藏输入中的数据,以便它不会破坏它.我该怎么做？对发布此信息的延迟表示道歉.

先感谢您.

这是一般的经验法则.

在最后可能的时刻转义变量.

您希望变量是数据的干净表示.也就是说,如果你试图存储名为"O'Brien"的人的姓氏,那么你肯定不想要这些:

O'Brien
O\'Brien

..因为,那不是他的名字:里面没有&符或斜线.当您获取该变量并将其输出到特定上下文中时(例如:插入到SQL查询中,或打印到HTML页面),即修改它时.

$name = "O'Brien";

$sql = "SELECT * FROM people "
     . "WHERE lastname = '" . mysql_real_escape_string($name) . "'";

$html = "
Last Name: " . htmlentities($name, ENT_QUOTES) . "
";

您永远不希望htmlentities在数据库中存储已编码的字符串.如果要生成CSV或PDF或任何非 HTML的内容,会发生什么？

保持数据清洁,并且只针对当前的特定上下文进行转义.

实质上,您应该在输出点mysql_real_escape_string之前使用数据库插入(以防止SQL注入)然后htmlentities等.

您还需要对所有用户输入应用完整性检查,以确保(例如)数值真的是数字等.此时,诸如is_int,is_float等函数非常有用.(有关这些函数和其他类似函数的更多信息,请参阅PHP手册的变量处理函数部分.)

只有在打印值(无论是从DB还是从$ _GET/$ _ POST)到HTML之前.htmlentities与数据库无关.

B太过分了.你应该在插入数据库之前使用mysql_real_escape_string,然后在打印到HTML之前使用htmlentities.htmlentities标签将在屏幕上显示为
等后,您不需要剥离标签

从理论上讲,在插入数据库之前,您可能会遇到很多问题,但如果您需要原始文本,这可能会使进一步的数据处理更加困难.

3. See above