过滤器输入转义输出，或转义输入过滤器输出

$username = htmlentities(htmlspecialchars(strip_tags($_POST['username')));

看起来我的困惑很简单。当我们开始使用echo的时，我认为输出层就是那个层，比如视图层。

根据Anthony Ferrara的说法，输出是数据离开应用程序的那一层，输入是数据进入应用程序的这一层。

因此，Input层不仅限于用户提供的内容，而且从配置文件读取、从文件系统读取、从第三方API检索数据等都被认为是Input。

CCD_ 18不限于视图层上的CCD_ 19或CCD_。SQL queries也算作output，因为数据离开我们的应用程序并进入数据库的范围。因此，写入文件也算作输出，执行shell命令也算作输出。

所以基本上，查询数据库是Output，而从数据库中检索结果是Input。

当你这样想的时候，Filter input, escape output听起来是正确的。如果其他人和我一样感到困惑，这真的很有道理。

首先：htmlentities或htmlspecialchars实际上不转义字符串，它们将特定字符转换为html实体！

1. 首先，您应该接受用户输入，并删除伪/自动的"安全"类魔术引号。

   if (get_magic_quotes_gpc())
   {
       $lastname = stripslashes($_POST['lastname']);
       // ...
   }
   

   这样就可以获得"纯"或原始用户输入。

2. 那么过滤意味着例如不允许fooBar之类的内容作为电子邮件地址！

   if (!my_own_email_validity_check($_POST['email'])) die(); // maybe a bit extreme
   

3. 之后转义要存储的用户输入（例如在数据库中）

   $city = $mysqli->real_escape_string($city);
   

   或者最好使用PDO，它"自动"完成：-）

4. 但真正重要的部分是，当向用户显示数据库中的数据时，请确保您通过htmlspecialchars()运行所有数据，因为您无法确定其中的任何内容是否正常！！！

现在有其他观点认为，当你获得原始数据时，你应该立即运行htmlentities，但这让处理它变得可怕，而且不是推荐的方法。但这甚至可能取决于你在做什么，就像做很多事情一样。

所以总结一下，总的来说：

• 当存储时，您需要转义用户输入，这样您就可以安全地避免注入
• 当显示时，您需要转换存储的数据，以防XSS

编辑：命名也有很多不同，有时人们在逃离时称之为过滤，或者在净化时称其为一般的逃离，等等。所以不要被命名所混淆，只要了解发生了什么，你就会没事的；-）

编辑2: 回答您的问题：

它被称为"过滤器输入，转义输出"，因为。。。

• 在这种情况下，过滤实际上意味着不允许数据库中出现"错误"数据。（比如第2点，电子邮件验证、邮政编码，这些都是你可以排除的。以后可能会打乱你的数据处理！）
• Escape输出是为了防止XSS->实际转换为html实体，所以这里是一个命名的例子
• 在"filter input，escape output"中，要么不考虑转义以防止SQL注入，要么甚至用"filtering"来概括它（正如您所说，这不是正确的术语（imho））

在我看来，问题是命名不一致。