Umfassende serverseitige Validierung

Question

Im Moment habe ich ein ziemlich robustes serverseitige Validierung System vorhanden, aber ich bin für ein Feedback suchen, um sicherzustellen, dass ich alle Winkel behandelt habe. Hier ist eine kurze Übersicht darüber, was ich im Moment mache:

• den Eingang Stellen Sie sicher, nicht leer ist, oder ist zu lang

• Escape-Abfrage-Strings SQL-Injection

verhindern

• Verwenden von regulären Ausdrücken ungültige Zeichen zu verwerfen (dies hängt davon ab, was vorgelegt hat wird)

• Encoding bestimmte HTML-Tags, wie

Answer 1

Sie sollten jeden HTML-Tag, nicht nur ‚ungültig‘ Einsen kodieren. Dies ist eine heiße Debatte, aber es läuft darauf hinaus grundsätzlich bis zu wird es immer einige ungültige HTML-Kombination, die Sie richtig (verschachtelte Tags, nicht übereinstimmen Tags einige Browser ‚richtig‘ und so weiter interpretieren) zu handhaben wird vergessen. So ist die sicherste Option meiner Meinung nach ist alles wie htmlentities zu speichern und dann bei der Ausgabe eines validierten HTML-safe-Subset Baum (als Entitäten) aus dem Inhalt drucken.

Answer 2

Führen Sie alle serverseitige Validierung in einer Bibliothek der Aufgabe gewidmet, so dass Verbesserungen in einem Bereich all Ihre Anwendung beeinflussen.

Darüber hinaus sind Arbeiten gegen bekannte Angriffe wie Directory Traversal und versucht, den Shell zugreifen zu können.

Answer 3

Diese Frage / Antwort hat einige gute Antworten, die Sie suchen
( PHP-orientiert, aber dann wieder nicht wahr angeben Sprache / Plattform und einen Teil davon gilt über die PHP-Welt ):

  

Was ist die beste Methode zur Hygienisierung Benutzereingabe mit PHP?

Answer 4

Check-out könnte den Filter Erweiterung für Datenfilterung. Es wird nicht garantieren, dass Sie absolut dicht sind, aber persönlich fühle ich mich viel mit ihm besser, weil dieser Code eine ganze Menge Augäpfeln Blick auf sie hat.

Auch betrachten Sie vorbereitete Anweisungen abgeordnet. Daten in SQL-Abfragen Flüchten ist eine Sache der Vergangenheit.