2

目前我使用这个策略:

在提交 HTML 表单或使用 jQuery 发送的数据后,$.get()或者$.post()我需要知道发生了什么,然后在此基础上应用逻辑。

假设,我有$_POST['username'], $_POST['password']$_POST['login_submit_button']。在我的处理脚本文件中,我这样做:

if(isset($_POST['login_submit_button']) && isset($_POST['username']) && $_POST['username'] != "" && isset($_POST['password']) && $_POST['password'] != "") {
  // calling a common function safe_vars() which does
  // mysql_real_escape_string(stripslashes(trim($any_variable_need_to_become_safe)))
  // and now using the above variables for different purposes like
  // calculation, insertion/updating old values in database etc.
}

我知道所有这些逻辑都是错误的或存在严重问题,所以我想要一个非常安全和完美的解决方案来代替这个。我欢迎在我的策略中找出漏洞和严重的安全漏洞。这个问题也可以帮助其他人,如果答案更具解释性,这可以是信息丰富的社区 wiki。

4

2 回答 2

3

没有办法制作一个通用的超级“让事情安全”功能。

mysql_real_escape_string

你根本不应该使用它。它使用旧的 mysql API,并假设您将手动将字符串组合在一起以生成 SQL。不要那样做。使用 PDO 或 mysqli 以及处理准备好的查询和绑定参数的函数。

stripslashes

这是魔术引语的解毒剂。如果没有魔术引号,它将破坏数据。不要使用它。改为关闭魔术引号。

trim

这会破坏数据。除非您真的想删除字符串开头和结尾的空格,否则不要使用它。

在将数据插入目标语言之前立即转义目标语言的数据。

对于 SQL,使用绑定参数和准备好的查询

对于 HTML,请使用htmlspecialchars为您转义的模板语言,例如 mustache。

或者,(如果你想允许 HTML)解析它,生成一个 DOM,使用白名单过滤它,然后将它序列化回 HTML。

对于 JSON,请使用encode_json

等等

于 2012-05-22T12:25:14.507 回答
1

没有什么是万无一失的,但是以上是避免 SQL 注入/XSS 的良好做法。

于 2012-05-22T12:24:43.683 回答