是否存在一种万能函数，可以很好地为SQL注入和XSS攻击清除用户输入，同时仍然允许某些类型的HTML标记?

有没有办法使一个Oracle查询行为像它包含一个MySQL限制子句?

在MySQL中，我可以这样做:

select * 
from sometable
order by name
limit 20,10

要得到第21行到第30行(跳过前20行，给出接下来的10行)。这些行是按顺序选择的，所以实际上是从第20个名字的字母顺序开始的。

在Oracle中，人们唯一提到的是rownum伪列，但它在order by之前求值，这意味着:

select * 
from sometable
where rownum <= 10
order by name

将返回一个随机的10行按名称排序的集合，这通常不是我想要的。它也不允许指定偏移量。

当我继续建立越来越多的网站和网络应用程序时，我经常被要求存储用户的密码，如果/当用户有问题时，它们可以被检索(要么通过电子邮件发送一个忘记密码的链接，通过电话等)，当我可以与这种做法作斗争时，我做了大量的“额外”编程，使密码重置和管理协助成为可能，而不存储他们的实际密码。

当我无法对抗它(或无法获胜)时，我总是以某种方式对密码进行编码，这样至少它不会以明文形式存储在数据库中——尽管我知道如果我的数据库被黑客攻击，罪犯不需要花费太多时间就能破解密码，所以这让我感到不舒服。

在一个完美的世界里，人们会经常更新密码，而不会在许多不同的网站上重复密码——不幸的是，我知道很多人都有相同的工作/家庭/电子邮件/银行密码，甚至在他们需要帮助的时候免费给我。如果我的数据库安全程序因为某种原因失败了，我不想成为他们财务崩溃的罪魁祸首。

从道德和伦理上讲，我觉得我有责任保护一些用户的生活，即使他们对他们的生活不那么尊重。 我确信有许多方法和论点可以用于盐散列和不同的编码选项，但当您必须存储它们时，是否存在单一的“最佳实践”?在几乎所有的情况下，我使用PHP和MySQL，如果这使任何不同的方式，我应该处理的细节。

Bounty的其他信息

我想澄清的是，我知道这不是你想要做的事情，在大多数情况下，拒绝这样做是最好的。然而，我并不是在寻求关于采用这种方法的优点的说教，我是在寻找如果你确实采用这种方法，应该采取的最佳步骤。

在下面的注释中，我指出了主要面向老年人、智障人士或非常年轻的人的网站，当他们被要求执行安全密码恢复程序时，他们会感到困惑。尽管在这些情况下，我们可能会发现这很简单，但有些用户需要额外的帮助，要么让服务技术人员帮助他们进入系统，要么通过电子邮件/直接显示给他们。

在这样的系统中，如果用户没有得到这种级别的访问帮助，来自这些人口统计数据的流失率可能会阻碍应用程序，所以请在回答时考虑到这样的设置。

谢谢大家

这是一个有趣的问题，有很多争论，我很喜欢。最后，我选择了一个答案，它既保留了密码安全性(我不必保留纯文本或可恢复的密码)，又使我指定的用户群能够登录到一个系统，而不存在我在正常密码恢复中发现的主要缺陷。

像往常一样，由于不同的原因，大约有5个答案我想标记为正确，但我必须选择最好的一个——其余的都是+1。谢谢大家!

同时，感谢Stack社区中为这个问题投票和/或将其标记为最喜欢的人。我把获得100票作为一种赞美，希望这个讨论能帮助到和我有同样担忧的人。

如果用户输入未经修改就插入到SQL查询中，则应用程序很容易受到SQL注入的攻击，如下例所示：

$unsafe_variable = $_POST['user_input']; 

mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");

这是因为用户可以输入类似值的内容）；DROP TABLE表；--，并且查询变为：

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

可以采取什么措施防止这种情况发生？

在Swing中，密码字段有一个getPassword（）（returns char[]）方法，而不是通常的getText（）（return String）方法。同样，我也遇到了一个建议，不要使用String来处理密码。

为什么字符串对密码安全构成威胁？使用char[]感觉不方便。

为什么谷歌会在（1）；他们的（私有）JSON响应？

例如，在Google calendar中打开和关闭日历时有一个响应：

while (1);
[
  ['u', [
    ['smsSentFlag', 'false'],
    ['hideInvitations', 'false'],
    ['remindOnRespondedEventsOnly', 'true'],
    ['hideInvitations_remindOnRespondedEventsOnly', 'false_true'],
    ['Calendar ID stripped for privacy', 'false'],
    ['smsVerifiedFlag', 'true']
  ]]
]

我认为这是为了防止人们对它进行求值（），但你真正需要做的就是替换while，然后就可以设置了。我假设eval预防是为了确保人们编写安全的JSON解析代码。

我也在其他几个地方看到过这种用法，但在谷歌（邮件、日历、联系人等）中更是如此。奇怪的是，谷歌文档以&&&START&&开头，而谷歌联系人似乎以while开头（1）&&&开始&&&。

这是怎么回事？

主持人注意: 这个问题不适合我们的问题和答案格式,目前适用于 Stack Overflow 的具体性规则. 我们通常使用“历史锁”用于内容仍然有价值的问题. 但是,这个问题的答案是积极维护的,历史锁不允许编辑答案。

基于表格的网站验证

我們認為 Stack Overflow 不僅應該是非常具体的技術問題的資源,而且應該是如何解決常見問題的變化的一般指南。

它应该包括主题如:

如何登录 如何登录 如何保持登录 如何管理Cookie(包括推荐设置) SSL/HTTPS加密 如何存储密码 使用秘密问题 已忘记用户名/密码功能 使用虚假信息 防止跨网站请求漏洞(CSRF) OpenID “记住我” 检查框 浏览器自动完成用户名和密码 秘密 URL(由 digest 保护的公共 URL) C

角色和授权 HTTP 基本验证

请帮助我们:

提示子主题 提交关于这个主题的好文章 编辑官方答案