


Dépréciation de FILTER_SANITIZE_STRING : une histoire de confusion et de conséquences inattendues
La récente dépréciation des constantes FILTER_SANITIZE_STRING et FILTER_SANITIZE_STRIPPED a suscité des inquiétudes parmi les développeurs PHP qui s'appuient sur elles pour la saisie. désinfection.
Qu'est-ce qui est obsolète et pourquoi ?
FILTER_SANITIZE_STRING et FILTER_SANITIZE_STRIPPED étaient auparavant utilisés pour supprimer les vulnérabilités XSS potentielles des chaînes d'entrée. Cependant, ces filtres présentaient un comportement déroutant et peu intuitif. FILTER_SANITIZE_STRING a supprimé tous les caractères entre '
La communauté PHP a déterminé que ces filtres provoquaient plus de confusion qu'ils n'en résolvaient, car les développeurs comprenaient souvent mal leur utilisation prévue. La désinfection des entrées est déjà gérée de manière adéquate par d'autres filtres, tels que FILTER_UNSAFE_RAW.
Options de remplacement
Il existe plusieurs options pour remplacer ces filtres obsolètes :
- FILTER_UNSAFE_RAW : Cette valeur par défaut Le filtre de chaîne n'effectue aucun filtrage. Utilisez-le si vous souhaitez la valeur de la chaîne brute sans aucune modification.
- htmlspecialchars() : Utilisez cette fonction pour coder des caractères spéciaux qui pourraient être exploités pour les vulnérabilités XSS. Cependant, n'oubliez pas de l'appliquer à la sortie, pas à l'entrée.
- Polyfill personnalisé : Pour ceux qui ont besoin du comportement de filtrage spécifique de FILTER_SANITIZE_STRING et FILTER_SANITIZE_STRIPPED, un polyfill basé sur une expression régulière peut être créé. comme suit :
function filter_string_polyfill(string $string): string { $str = preg_replace('/\x00|]*>?/', '', $string); return str_replace(["'", '"'], [''', '"'], $str); }
Rappelez-vous la règle d'or
Il est crucial de souligner que la désinfection des entrées ne doit pas être considérée comme une défense fiable contre les attaques XSS. Au lieu de cela, les développeurs devraient se concentrer sur l'échappement de la sortie pour empêcher l'injection de contenu potentiellement dangereux dans la page.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Les longues URL, souvent encombrées de mots clés et de paramètres de suivi, peuvent dissuader les visiteurs. Un script de raccourcissement d'URL offre une solution, créant des liens concis idéaux pour les médias sociaux et d'autres plateformes. Ces scripts sont utiles pour les sites Web individuels

À la suite de son acquisition de haut niveau par Facebook en 2012, Instagram a adopté deux ensembles d'API pour une utilisation tierce. Ce sont l'API graphique Instagram et l'API d'affichage de base Instagram. En tant que développeur créant une application qui nécessite des informations à partir d'un

Laravel simplifie la gestion des données de session temporaires à l'aide de ses méthodes de flash intuitives. Ceci est parfait pour afficher de brefs messages, alertes ou notifications dans votre application. Les données ne persistent que pour la demande ultérieure par défaut: $ demande-

Il s'agit de la deuxième et dernière partie de la série sur la construction d'une application React avec un back-end Laravel. Dans la première partie de la série, nous avons créé une API RESTful utilisant Laravel pour une application de liste de base sur le produit. Dans ce tutoriel, nous serons Dev

Laravel fournit une syntaxe de simulation de réponse HTTP concise, simplifiant les tests d'interaction HTTP. Cette approche réduit considérablement la redondance du code tout en rendant votre simulation de test plus intuitive. L'implémentation de base fournit une variété de raccourcis de type de réponse: Utiliser illuminate \ support \ faades \ http; Http :: faux ([[ 'google.com' => 'Hello World', 'github.com' => ['foo' => 'bar'], 'forge.laravel.com' =>

L'extension PHP Client URL (CURL) est un outil puissant pour les développeurs, permettant une interaction transparente avec des serveurs distants et des API REST. En tirant parti de Libcurl, une bibliothèque de transfert de fichiers multi-protocol très respectée, PHP Curl facilite Efficient Execu

Voulez-vous fournir des solutions instantanées en temps réel aux problèmes les plus pressants de vos clients? Le chat en direct vous permet d'avoir des conversations en temps réel avec les clients et de résoudre leurs problèmes instantanément. Il vous permet de fournir un service plus rapide à votre personnalité

L'enquête sur le paysage PHP 2025 étudie les tendances actuelles de développement du PHP. Il explore l'utilisation du cadre, les méthodes de déploiement et les défis, visant à fournir des informations aux développeurs et aux entreprises. L'enquête prévoit la croissance de la PHP moderne versio


Outils d'IA chauds

Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool
Images de déshabillage gratuites

Clothoff.io
Dissolvant de vêtements AI

AI Hentai Generator
Générez AI Hentai gratuitement.

Article chaud

Outils chauds

DVWA
Damn Vulnerable Web App (DVWA) est une application Web PHP/MySQL très vulnérable. Ses principaux objectifs sont d'aider les professionnels de la sécurité à tester leurs compétences et leurs outils dans un environnement juridique, d'aider les développeurs Web à mieux comprendre le processus de sécurisation des applications Web et d'aider les enseignants/étudiants à enseigner/apprendre dans un environnement de classe. Application Web sécurité. L'objectif de DVWA est de mettre en pratique certaines des vulnérabilités Web les plus courantes via une interface simple et directe, avec différents degrés de difficulté. Veuillez noter que ce logiciel

Télécharger la version Mac de l'éditeur Atom
L'éditeur open source le plus populaire

Dreamweaver Mac
Outils de développement Web visuel

PhpStorm version Mac
Le dernier (2018.2.1) outil de développement intégré PHP professionnel

Listes Sec
SecLists est le compagnon ultime du testeur de sécurité. Il s'agit d'une collection de différents types de listes fréquemment utilisées lors des évaluations de sécurité, le tout en un seul endroit. SecLists contribue à rendre les tests de sécurité plus efficaces et productifs en fournissant facilement toutes les listes dont un testeur de sécurité pourrait avoir besoin. Les types de listes incluent les noms d'utilisateur, les mots de passe, les URL, les charges utiles floues, les modèles de données sensibles, les shells Web, etc. Le testeur peut simplement extraire ce référentiel sur une nouvelle machine de test et il aura accès à tous les types de listes dont il a besoin.
