Какие специальные символы нужно запретить для ввода в Input?

Question

[Nomy Co]

Может быть есть у кого-то собственные таблицы специальных символов, которые точно нужно запретить для ввода в input'ы? Например, в такие поля, как Логи и Пароль. Буду благодарна, если скинете, т.к. я нашла массу таблиц, но они очень блинные и содержат лишнюю информацию.

Answer 1

[dollar]

Нужно запретить все символы, кроме символов из белого списка типа a-zA-Z0-9_
Проверка должна быть на сервере. На клиенте проверка нужна, только чтобы не перегружать страницу лишний раз.

Comments

[Ruslan Ruslanov]

Nomy Co, помимо простой проверки символов (и если у вас серьезный публичный проект), необходимо проверять данные формы на схожесть с sql-запросами (если у вас sql база, конечно же), чтобы защититься от sql-injection.
делается это так же, на стороне сервера.

[Nomy Co]

Ruslan Ruslanov, спасибо, это будет сделано бэкенд-разработчиком, я, к сожалению, некомпетентна в таких вопросах.

[dollar]

Ruslan Ruslanov, интересно посмотреть на инъекцию, которая прошла a-zA-Z0-9_ (без пробелов и спец символов). Можете привести пример?

spoiler

Ну или хотя бы пример инъекции, где в фильтре разрешены все символы, кроме кавычек и слешей.

[Nomy Co]

dollar, кстати, сценарий хорош, но что делать, если имя (не уточнила логин=имя/никнейм) будет вводить китаец, таец или японец? они просто не смогут зарегистрироваться

[dollar]

Nomy Co, речь шла про логин или пароль.
Если поле для имени, то это уже другое.
Там, в целом, достаточно фильтровать кавычки и слеш.

[Nomy Co]

dollar, ну, да, это уточнение для такого случая просто

Answer 2

[ThunderCat]

Запрещать что-либо для ввода в инпуты практически бесполезно, проверки в любом случае должны работать по принципу фильтрации/валидации всех вводимых пользователем данных на сервере. Ввести "запрещенные" данные в инпут или просто отправить их без всякого инпута на сервер вообще не проблема.