何时（以及为什么何时）以及如何在 php 中清理来自 POST JSON 的数据（以便输出可在 Swift 和 HTML 中使用）

问：

在过去的几天里，我阅读了很多关于使用 PHP 清理输入和输出数据以防止（最突出的）XSS 和 SQL 注入的资源，即一堆关于 SO 的问题。然而，在这一点上，我觉得我对我应该做什么和不应该做什么更加困惑和不安全，部分原因是一些相反的信息，例如，我已经读过很多次，如果我使用准备好的语句，我不需要使用或任何其他形式的输入清理， 其他消息来源说我无论如何都应该使用它，甚至我应该像这样对它进行消毒;苹果的这个页面相当粗略地（？）介绍了这个话题;等。因此，我真的很想澄清我应该做什么 - 最好但不一定，由在该领域（服务器端安全）有一定经验的人，例如在这个领域工作，做过很多研究，甚至可能站在攻击者一边（？mysqli_real_escape_string

为了更好地理解我的情况，我将尽可能简明扼要地回顾一下：

我目前正在使用 Swift （iOS） 编写一个应用程序，需要将一些数据发送到我的服务器，在那里它使用 SQL 保存在表格中，并且可以由其他用户检索（例如用于博客）。

为此，我通过编码为JSON的POST将数据发送到我的服务器（“myphp.php”;使用Alamofire，不过这应该不是很重要），并在那里对其进行解码。这是我不确定我是否应该以某种方式清理我的数据的第一个地方（参考我上面链接的问题）。无论如何，然后我继续使用准备好的语句将其插入表中（MySQL，因此没有模拟任何内容）。此外，我还希望我输出的数据可以在 html 中使用，或者更确切地说，整个 PHP 也可用于 AJAX。

这是我的意思的一个例子：

// SWIFT
// set parameters for request
let parameters: Parameters = [
    “key”: “value”,
    ...
]

// request with json encoded parameters
Alamofire.request(“myphp.php”, method: .post, parameters: parameters, encoding: JSONEncoding.default)
.validate().responseJSON(completionHandler: { (response) in
// do things with data (e.g. show blog post)

// PHP
header('Content-Type: application/json');

$decodedPost = json_decode(file_get_contents('php://input'), true);

// what to do with input...?

// PREPARED STATEMENTS: insert, select, etc.

// what to do with output...?

// echo response - json-encoded so that
// json completion handler in swift can work with it 
echo json_encode($output, JSON_NUMERIC_CHECK);

我曾向一位朋友请教过一些建议，他告诉我他总是做以下事情（这也是他发给我的一个函数）——无论数据是输入还是输出：xss_clean()

$key = xss_clean(mysqli_real_escape_string($db, trim(htmlspecialchars($data)))); 
// e.g. $data = decodedPost["key"]

然而，不仅我的研究告诉我这可能没有必要，而且他还告诉我这有其局限性，最明显的是，当数据应该再次从服务器检索并再次显示给例如另一个用户时 - 尽可能接近原始输入。

正如你所看到的，我真的很困惑。我想尽可能地保护发送到服务器的用户数据，所以这对我来说是一个非常重要的话题。我希望这个问题不要太宽泛，但许多其他问题，就像我说的，至少部分是矛盾的，或者非常古老的，例如仍然使用简单的扩展而没有准备好的陈述。 如果您需要更多信息，请随时询问。非常感谢对官方文件（以支持答案）的引用。谢谢！mysql