Я разрабатываю веб-приложение, использующее nodejs, и вам нужно выходить из выходов. Я также дезинфицирую все входные данные и удаляю любые скрипт и /script теги и все коды между ними. Какие части выхода должны быть экранированы и есть ли для этого модуль?Нужно ли мне выводить выход, если я дезинфицирую все входы?
3
A
ответ
3
Для большинства деталей вы фактически не должны дезинфицировать вход для конкретного случая. Попытайтесь сохранить его неэкранированным (не стряхвайте что-либо), а затем сделайте это, когда вы выходите.
Таким образом, вы всегда можете использовать предоставленные данные для любой другой формы презентации, а не только для HTML. Если пользователь отправляет <
, вы не должны хранить <
. Кроме того, при дезинфекции продукции вы на 100% уверены, что это сделано.
Точно. Просто убедитесь, что вы не запрашиваете свою базу данных, используя необработанные строки. Вместо этого используйте подготовленные заявления. (Если это относится к вам) – MildlySerious