如何防止 XSS 和 SQL 注入答案

【问题标题】：How to prevent against XSS and SQL injection [duplicate]如何防止 XSS 和 SQL 注入
【发布时间】：2013-05-20 21:46:59
【问题描述】：

我想从用户那里检查我的数据是否存在 XSS 和 SQL 注入，这就是我尝试的方式

if (isset($_GET['membernumber'])) 
{
    $mem = htmlentities($_GET['membernumber']);
    $memberparamter = cleanData($mem);

}

但是哪种方法是最好/正确的检查方法？

方法一

function cleanData($data)
    {
        $data=mysql_real_escape_string($data);
        $data=trim($data);
        $data=stripcslashes($data);
        $data=htmlspecialchars($data);
        $data=strip_tags($data);
        return $data;
    }

方法二

function cleanData($data)
    {
        $data=mysql_real_escape_string($data);
        $data=trim($data);
        $data=strip_tags($data);
        return $data;
    }

方法3

htmlspecialchars(stripcslashes(trim($data)))

【问题讨论】：

使用准备好的语句，它会处理所有这些问题
成员编号应该是整数吗？为什么不直接使用intval($_GET['membernumber'])？
是的，它应该是一个 int

标签： php xss sql-injection

【解决方案1】：

如果您想防止 SQL 注入攻击，请使用准备好的语句。当你做类似的事情时

SELECT * FROM TABLE WHERE id = $_GET['x']

这个查询的问题是变量被认为是 SQL 语句的一部分。这意味着 DBMS 将解析/编译和执行变量以及查询的其余部分。如此有效，我可以提供类似

$x = "1); DROP TABLE users;"

并且由于它是语句的一部分，服务器将执行该命令。

当你引入prepared statements时，变量范围将被限制在一个参数的范围内，即使没有转义，也不会对查询的其余部分产生影响。这是因为 SQL 语句由数据库解析/优化/编译等，您所要做的就是绑定参数。 sql语句是一个模板。

SELECT * FROM TABLE WHERE id = ?

使用准备好的语句的另一个好处是速度。由于模板已经解析/编译等，数据库不需要重复该过程，因此可以重复使用，您所要做的就是替换参数。

在 PHP 中，PDO 和 mysqli_* 函数都支持预处理语句。

mysqli 见http://php.net/manual/en/mysqli.prepare.php 对于 PDO，请参阅 http://php.net/manual/en/pdo.prepare.php

对于 XSS 攻击，您可以采取一些方法。第一个是在打印到页面时简单地转义任何用户输入。如此危险的字符，例如：

 <>"" // and so on

将替换为等效的 html 实体。所以&lt;script&gt;的情况下会转换成&lt;script&gt;。

您还可以设置白名单方法，即只允许 X 标记用于用户输入。这对于面向内容的站点特别有用，在这些站点中，用户可能需要访问某些 html 标签，例如 div、p 标签等，但不需要访问脚本标签。任何不在白名单内的标签都将被过滤掉。这很难完全涵盖，因为有很多做事的方式，但它可以提供额外的安全性。请参阅http://php.net/manual/en/function.filter-var.php 了解更多信息。

第三种方法是用自定义标签替换 html 标签（就像 SO 一样）。所以一个单词前面的星可能代表<strong> html标签等等。

请注意，如果您确实采用了后两者，您仍然应该转义数据。即使过滤了所有用户输入数据，也应将其视为潜在危险，因为正如他们所说，剥猫皮的方法总是不止一种。

【讨论】：