有没有开源的那种因噎废食的防止 SQL 注入、XSS 的 PHP 代码？

类似百度云加速和 360 网站卫士的防止 SQL 注入、 XSS

CloudFlare 免费版完全不管

不因噎废食会死星人

gamexg

2016-10-15 11:05:12 +08:00

我一直觉得纳闷，这种东西能用？
技术站要是用户提交个带 sql 语句的文章是不是就给封了，或者文章里面的半角分号全部变成全角分号，弄得拷贝的代码全部挂掉？

这个只能记录异常的行为后人工分析吧？

Technetiumer

2016-10-15 11:08:27 +08:00

@gamexg 我猜这就是因噎废食

qiayue

2016-10-15 12:00:52 +08:00

@skydiver 我觉得你猜对了，只有一劳永逸放上去读的通

bugmenein

2016-10-15 12:16:37 +08:00

@gamexg
@Technetiumer

对对对，因为百度云加速和 360 网站卫士就是这样。

Vhc

2016-10-15 12:42:35 +08:00

@bugmenein 「因噎废食」就是在服务器上卸载数据库，然而你又是如何理解这个成语的呢？

bugmenein

2016-10-15 12:56:06 +08:00

@Vhc 完全禁止提交 SQL 语句和 HTML 和 JavaScript 代码，不考虑误杀

sutra

2016-10-15 13:36:26 +08:00

因噎废食的方案有很多，比如卸载 PHP 。

orvice

2016-10-15 14:29:35 +08:00

程序上应该做的事情为什么要靠 cdn 。。。

shinwood

2016-10-15 14:33:52 +08:00

终极解决方案难道不是过滤掉所有半角符号以及 26 个半角英文字母，只允许中文字符就好了。

bugmenein

2016-10-15 14:59:15 +08:00

@orvice 所以来发帖了，
有没有开源的那种因噎废食的防止 SQL 注入、 XSS 的 ** PHP 代码 **？
只是想找个厉害的正则什么的。。。完全不考虑误杀，最好是 @gamexg 所说的那样。。。

gamexg

2016-10-15 15:04:20 +08:00

@shinwood 好主意，还可以将半角符号及英文字母全部替换成全角符号。

reus

2016-10-15 17:33:13 +08:00

今时今日 PHP 开发者还要操心 SQL 注入的问题？
我 10 年前写 PHP 就知道要用 prepare statement 了。

hicdn

2016-10-15 18:44:58 +08:00

PHPIDS https://github.com/PHPIDS/PHPIDS

Koishi

2016-10-15 19:33:17 +08:00

因噎废食...
我认为以下建议比较符合题意
不用数据库

orvice

2016-10-17 15:39:58 +08:00

@bugmenein 没有用的用正则还是会被注入， pdo 参数绑定是解决方法。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/312881

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.