在以下情况下我是否需要清理Javascript?

时间:2012-01-03 06:23:42

标签: php javascript sanitization sanitize

我的问题是关于消毒。 我是否需要在以下情况下清理javascript?

我通过ajax将json数组作为Json发送到php。该数组将在php中操作,然后一些数据将发布到mysql。 请注意,用户在任何时候都不会自行编写值。该数组是根据用户点击的按钮创建的。

进一步阅读

基于Sanitize (radio buttons, checkboxes and <option>)我假设我需要清理javascript。如果这是正确的,您建议我做什么消毒?

我正在使用的数组是一个多维数组,如Array [5] [3] = 2。它应该只包含数字值。

2 个答案:

答案 0 :(得分:4)

您需要了解有关消毒的唯一简单规则:

  1. 永远不要相信客户。
  2. 因此,遵循此规则意味着您是否清理客户端上的输入并不重要。您仍然需要在服务器上清理它。

    要深入了解您的具体情况,仅仅信任JavaScript来完成这项工作是不够的,因为有些人可能没有启用JavaScript。或者,有恶意意图的人可以在浏览器环境之外完全跳过这些HTTP调用。

答案 1 :(得分:3)

不要认为它是'清理JavaScript',你必须始终了解在SQL查询中使用的所有输入或值,或直接输出到屏幕。

IT应该被隔离,而不是消毒,但是通过消毒和检查最大长度等,你可以非常接近“安全”。

请记住,大多数攻击都不是那么简单,“BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH BLAH

它可能是十六进制/ ASCII或它可能是西里尔字母,你永远不会知道。


绝不相信任何输入。