【发布时间】:2021-03-06 08:44:37
【问题描述】:
我对 PHP 和 SQL 安全性非常陌生,我正在考虑一种用于验证/过滤用户输入的解决方案。
据我了解,您主要需要担心两件事:
(1) 有人将 SQL 查询注入与数据库交互的输入字段
(2 )有人将<script>标签之类的东西放在他们的输入中,然后再次打印到页面上
在研究过程中,我发现了以下解决方案:
For (1):prepared statements
For (2): 验证/过滤 HTML 标记
我知道您必须验证/过滤任何用户输入,据我所知,大多数安全漏洞的存在都是因为这样做的错误。
例如,只需在以下输入中过滤掉<script> 标记:
email@<sc<script>ript>example.com
那么,一个非常简单的算法会拒绝任何包含“”的用户输入(假设用户没有理由使用这些符号)并用<b>替换用户输入中的[b]之类的东西呢?允许特定标签?这不是防止恶意 HTML 内容的防弹方法吗?或者我错过了什么?
另外我想知道是否一直使用准备好的语句会使 SQL 注入变得不可能,或者仍然可以在专门使用准备好的语句的页面上进行 SQL 注入?
【问题讨论】:
-
1:PDO,2:htmlspecialchars
-
PDO驱动保存数据,strip_tags函数进行senitize,设置head charset为UTF-8。
-
关于 SQL 注入,使用参数化的预处理语句。没有必要过滤掉任何东西(安全方面)。只需“按原样”保存数据。然后当您输出数据时,您需要通过
htmlentities()或htmlspecialchars()运行它来保护自己免受XSS 攻击。输出数据时最好对数据进行清理,因为不同的用例需要不同的清理。验证应该始终进行,但这是为了检查数据是否正确,检查发送的数据是否采用正确的格式等,与卫生或安全无关。 -
...而且您不应该尝试想出自己的卫生设施类型(例如删除
<和>。)黑客有很多技巧可以绕过“简单”卫生(你基本上需要知道所有可能的攻击媒介才能依赖你自己的解决方案。)改用 PHP 中的内置函数,它们已经被数百万人尝试和测试了多年。
标签: php validation security xss sql-injection