问题标签 [sanitize]

我在这个使用 Ruby 的 Sanitize 库创建转换器 lambda 的示例中遇到了一些问题。

我已经完成并整理了一个简单的脚本，该脚本试图清理我的options[:content]变量中的任何内容，但是尽管遇到了返回包含名为 :node_whitelist 的节点数组的哈希的位，但似乎不知何故我的节点没有进入白名单.

这是我的代码：

这是正在生成的输出：

我究竟做错了什么？

我有一个<textarea>值被发送到服务器并存储在数据库中。该值随后会在 HTML 中的不同页面上呈现。

我需要做什么来消毒这个？只需删除 HTML 标签？（它已经是 SQL 注入安全的，因为我使用的是存储过程和参数。）

有人有消毒程序吗？

我是编码和 PHP 领域的新手，因此想了解什么是清理表单数据以避免格式错误的页面、代码注入等的最佳方法。我在下面找到的示例脚本是一个很好的例子吗？

代码最初发布在http://codeassembly.com/How-to-sanitize-your-php-input/

我通常通过执行以下操作来逃避用户输入：

htmlspecialchars($str,ENT_QUOTES,"UTF-8");

以及mysql_real_escape_string($str)只要有 mysql 连接可用。

如何改进？到目前为止，我对此没有任何问题，但我不确定。

谢谢你。

使用 Sanitize gem，我正在清理一些 HTML。在我的锚标签的 href 属性中，我希望解析以下内容：

<a href="#fn:1">1</a>

这是使用 Kramdown gem实现脚注所必需的。

但是，Sanitize 似乎不喜欢 href 属性中的冒号。它只是简单地输出<a>1</a>，完全跳过 href 属性。

我的清理代码如下所示：

有没有办法让 Sanitize 接受 href 属性中的冒号？

有没有办法让 ActionView::Helpers::SanitizeHelper#sanitize 方法转义有问题的 HTML 而不是完全删除它？

我会使用h，但我需要 sanitize 方法，因为您可以将其设置为忽略某些标签。

我正在用 nokogiri 抓取一个 html 页面，我想去掉所有样式属性。
我怎样才能做到这一点？（我没有使用 Rails，所以我不能使用它的 sanitize 方法，我不想使用 sanitize gem，因为我想将黑名单删除而不是白名单）

我希望它是

在我的搜索中，我主要找到了在输出或清理单个输入框时清理数据的方法：

但是，我正在创建一个像这样的对象：

现在，我可以一个一个地清理 params[:user] 哈希中的每个键，但我确信有一种更优雅的技术。

我需要逃避/清理以下内容吗？

1. $_SERVER['HTTP_USER_AGENT']在 PHP 脚本中（未插入数据库或显示给用户），例如：

   /li>

2. $_SERVER['HTTP_USER_AGENT']当作为会话变量放置时，例如：

   /li>

3. 任何要被散列的东西，例如：

   /li>

4. 用于电子邮件正文的用户输入（换句话说，我已经处理了电子邮件标题注入）。

如果确实需要对上述任何一种情况进行排除/消毒，那么每种情况的最佳方法是什么？

这是一个双重问题。

我有一个接受用户输入的 RoR (3.0.7) 应用程序，例如创建一篇新闻文章。到目前为止，用户输入是纯 XHTML，因为用户是受信任的。然而，用 XHTML 在网站上创建帖子对某些用户来说是一个挑战，因此我们将尝试转向纺织。

为了使用纺织品，我安装了 RedCloth。

由于我们不会将现有的新闻文章转换为纺织品，我知道这将是获得统一数据的正确做法，因此计划是仅在给定日期之后在内容上使用 RedCloth。

在视图中，我只需要一个条件来检查 created_at 日期，然后在输出之前调用 RedCloth。但是，这意味着我必须遍历所有视图并在呈现特定内容时插入条件。我什至可以创建一个帮助程序来最小化我必须复制的代码。

我没有这样做并保持干燥，而是决定将逻辑向下移动到模型中。该模型有一个名为 articlecontent 的列。我想出的是下面的代码，到目前为止似乎有效：

所以我的问题是：

1）这是正确的方法吗？还是我应该定义某种 ViewHelper？

2) 似乎我无法在模型中调用 sanitize 助手，这可能是有充分理由的。有没有办法在模型中调用助手？

谢谢马克