不受信任的数据是什么意思?是动态生成的所有数据吗?或者只是来自用户输入的数据?
答案 0 :(得分:1)
不可信赖的数据是可能会损害您的Web应用程序的任何数据。自动生成不会自动使数据变得危险。
一般来说,如果数据来自某个你不信任的地方,那么它就是不值得信任的。
通常这意味着来自用户的任何数据。
您应该保护数据的方式与将要使用的数据相关。例如,如果您希望将其存储在数据库中,则必须确保对其进行适当的转义以防止SQL注入。 如果数据将用于执行shell命令,则escapeshellarg和escapeshellcmd按顺序排列。
跨站点脚本(XSS)是Web应用程序中常见的一种计算机安全漏洞。 XSS使攻击者能够将客户端脚本注入其他用户查看的网页中。
如果您的网络应用显示用户引入的未转义数据,则可能会发生这种情况。一个简单的例子是博客网站,它不会逃避用户的评论。删除HTML实体(例如脚本标签,Iframe等等)应足以防止此类攻击。
答案 1 :(得分:1)
鉴于此处已发布的答案和评论以及此处的类似问题,您的问题的答案"什么是不受信任的数据"很简单:
来自客户端的Everything ,无论是通过POST,GET,PUT,HEAD,Cookie还是其他任何应该被视为不受信任的。
事实上,所有数据来自客户"不得来自那里,并且总是可以制作滥用服务器软件的任何漏洞,无论您是否使用它。
周期。
答案 2 :(得分:0)
您需要使用htmlspecialchars()之类的功能来保护XSS并将某些内容输出到来自用户输入的浏览器。
当您回复输入时,请使用它,如发布的文件夹
echo htmlspecialchars($string, ENT_QUOTES, 'UTF-8');
Google Code University也有some very educational videos on Web Security。