我浏览了很多文章,找到了一个简单的字符列表,这些字符可以限制用户输入以保护我的网站免受 XSS 和 SQL 注入攻击,但找不到任何通用列表。
有人可以通过简单地给我这方面的安全或不安全字符列表来帮助我吗?我知道这可以是特定于字段的,但我需要它用于我希望允许最大可能字符的文本字段。
【问题讨论】:
标签: php mysql security xss sql-injection
“黑名单”方法充满了问题。对于 SQLi 和 XSS,针对白名单的输入验证是必不可少的,即定义您期望而不是不期望。还要记住,用户输入 - 或“不受信任的数据” - 来自许多地方:表单、查询字符串、标题、ID3 和 exif 标签等。
对于 SQLi,请确保您始终使用参数化 SQL 语句,通常以存储过程参数或任何体面的 ORM 的形式。还应用“最小特权原则”并限制连接到数据库的帐户可能造成的损害。更多关于 SQLi 的信息:http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html
在 XSS 方面,始终对您的输出进行编码,并确保您针对其出现的适当标记语言对其进行编码。JavaScript 的输出编码不同于 HTML,也不同于 CSS。请记住,不仅要编码立即反映输入的响应,还要编码存储在数据库中的不受信任的数据,这些数据可能会带来持久的 XSS 威胁。更多关于这一切的信息:http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-2.html
我知道这超出了您最初的问题,但我想说的是,允许的字符只是图片的一小部分。上面提到的其他做法可能更重要(但您仍应使用这些白名单)。
【讨论】:
字符过滤不是您应该采取的安全措施。要防止 SQL 注入,请使用prepared statements。为了防止 XSS 你应该escape所有用户输入正确
【讨论】:
看看 Drupal CMS 的 xss 过滤的implementation。该函数具有包含允许的 HTML 标签的白名单,所有其他内容都将被转义。
【讨论】: