有没有开源的那种因噎废食的防止 SQL 注入、XSS 的 PHP 代码？

我 90%确定你搞错因噎废食这个成语的含义

自己写个 github 有开源可以参考
就问你怕不怕

我教你怎么因噎废食。
不用数据库就好了。

找个 ORM 基本可以防止 SQL 注入。
XSS 嘛 输出用 htmlentities 包一下就行 前端用 textContent 赋值。

@xgfan 这是「因噎废食」的正确理解

楼主说的是 WAF 吧 https://github.com/loveshell/ngx_lua_waf

神他妈因噎废食。 3L 真相。

日度撕逼大戏， 233

@xgfan 23333333333333

用「因噎废食」形容 WAF 确实也没错啊

鸟哥的 taint ，检测没有处理过的用户变量
htmlpurifier ，速度感人
实在不放心你就把源码放 docker 里面跑
还不放心，那就 beast 加个密吧
最终极的办法，入口文件弄个中间件检查 get/post 里的 sql 注入 /xss/异常数据，然后把数据记录下来方便之后分析，然后把用户 ip 放到 redis 里，另外有个 php-cli 盯着 redis 把黑客 ip 加入 iptables 来 ban 几个小时

不要虚，就是干

还有个老的 WebSecurity

http://htmlpurifier.org/ 挺好用的

想了很久， lz 的因噎废食到底是什么意思

@Senorsen 可能是废寝忘食。

我用 txt 文本保存数据，这叫因噎废食。

@Senorsen 是想说一劳永逸吧

这个因噎废食到底啥意思？

MARK,看看大神们推荐

我一直觉得纳闷，这种东西能用？
技术站要是用户提交个带 sql 语句的文章是不是就给封了，或者文章里面的半角分号全部变成全角分号，弄得拷贝的代码全部挂掉？

这个只能记录异常的行为后人工分析吧？

@gamexg 我猜这就是因噎废食

@skydiver 我觉得你猜对了，只有一劳永逸放上去读的通

@gamexg
@Technetiumer

对对对，因为百度云加速和 360 网站卫士就是这样。

@bugmenein 「因噎废食」就是在服务器上卸载数据库，然而 你又是如何理解这个成语的呢？

@Vhc 完全禁止提交 SQL 语句和 HTML 和 JavaScript 代码，不考虑误杀

因噎废食的方案有很多，比如卸载 PHP 。

程序上应该做的事情为什么要靠 cdn 。。。

终极解决方案难道不是过滤掉所有半角符号以及 26 个半角英文字母，只允许中文字符就好了。

@orvice 所以来发帖了，
有没有开源的那种因噎废食的防止 SQL 注入、 XSS 的 ** PHP 代码 **？
只是想找个厉害的正则什么的。。。完全不考虑误杀，最好是 @gamexg 所说的那样。。。

@shinwood 好主意，还可以将半角符号及英文字母全部替换成全角符号。

今时今日 PHP 开发者还要操心 SQL 注入的问题？
我 10 年前写 PHP 就知道要用 prepare statement 了。

PHPIDS https://github.com/PHPIDS/PHPIDS

因噎废食(select)

因噎废食...
我认为以下建议比较符合题意
不用数据库

@bugmenein 没有用的 用正则还是会被注入， pdo 参数绑定是解决方法。