Безопасного ввода и обработки документов являются защищенной программирования, методов, предназначенных для предотвращения ошибок и эксплуатациейих.
Входная обработка-это как приложение, сервер или другое вычислительная система обрабатывает входной сигнал поступает от пользователей, клиентов или компьютерной сети.
Безопасную обработку ввода часто требуется для предотвращения уязвимостей, связанных с внедрение кода, обхода каталогов и так далее.
Форумчанин (или очистки) Ввод данных пользователем, чтобы убедиться, что входной сигнал является безопасным перед использованием.
Самый безопасный способ чтобы сделать это, чтобы завершить о подозрительных входных и использовать белый список стратегии, чтобы определить, если исполнение должно быть прекращено или нет. Такое поведение не всегда предпочитал с точки зрения удобства использования.
В компьютерной безопасности, часто бывают хорошо известные входы — вход Разработчик полностью уверенным в безопасности. Известны также плохие персонажи; ввод Разработчик определенные небезопасно (могут вызвать внедрение кода и т. д.). Исходя из этого, два разных подхода к тому, как должно быть управляемым существует:
В белый список - это список "удачный вклад". Белый список-это список, который говорит "А, B и C-это хорошо (а все остальное плохо)".
В черный список - это список "известных плохих входов". Черный список-это список, который говорит "А, B и C-это плохо (а все остальное хорошо)".
Безопасности специалистов предпочитаю белые списки, черные списки, потому что случайно может лечить плохая как безопасный. Однако в некоторых случаях решение белый может не быть легко реализованы.
Это очень безопасная стратегия. Если неожиданных персонажей происходят на входе, выполнения прерывания. А если некачественно, то это может привести к отказу в обслуживании атака , в которой злоумышленник системе с неожиданными вход, заставляя систему расходовать скудные обработка и передача ресурсов на ее отклонения.
Чтобы удержать вредоносные входные данные, содержащиеся, любые входные данные записываются в базу данных должны быть закодированы.SQL Кодировка: ' или 1=1 --' кодируется В \ \'\ или\ 1\=1\ \-\-' В РНР это можно сделать с помощью функции использования mysql_real_escape_string() или с помощью pdo::Цитата()
