0

我试图找出最好的消毒方式,并在某种程度上验证发送到我的应用程序的 POST 数据。

我制作了这个驻留在路由器中的函数,并在if($_POST)存在的 __constructor 中调用:

private function validatePost()
  {
    foreach($_POST as $key => $value) {
      if(preg_match('/[^a-zA-Z]/', $key))
      {
        $this->throwError('POST Error', 'Invalid index name.');
        return;
      }
      if(strlen($value) > $this->postLimit && $this->postLimit != -1)
      {
        $this->throwError('POST Error', 'Posted value to large.');
        return;
      }
      if(substr($key, -2, 2) == 'id' && !is_numeric($value))
      {
        $this->throwError('POST Error', 'Expected a number, didn\'t get one.');
        return;
      }
      else
      {
        //$value = urlencode($value);
      }
      $_POST[$key] = $value;
    }
  }

故意有点严格,但如果我坚持我在整个框架中制定的规则,这并不重要。

我已经读过限制 $_POST 的大小确实有助于阻止某些攻击,在这种情况下,我将 -1 设置为无/默认限制(但如果需要在我的配置文件中将其设置为更少)。

我注释掉了 urlencoding,因为我目前不确定在达到预期功能时解码它的最佳方式。我应该对它进行编码吗?最好的解码方法是什么?也许在Controller我所有课程都延伸的大师中?

欢迎任何其他建议。

4

1 回答 1

2

如果您想限制POST请求的大小,那么最好的选择是在网络服务器本身的级别上进行。有一些工具可以做到这一点。由于您最喜欢使用 Apache,因此您可以查看mod_security。其他网络服务器将有类似的选项。

在限制POST请求大小时,风险之一是用于执行页面的内存量。如果数据已经在,$_POST那么你就来不及了。

至于验证和卫生,它应该在域对象表示实体sql中完成......您验证域对象中输入的逻辑。您对 SQL 约束中的数据结构进行了验证。并且您清理了表示实体中的输出(我没有链接称它们为“表示模型”,因为它增加了对 MVC 的混淆)。

MVC 中的路由机制(这是“前端控制器的一个方面”)应该只接受用户的输入并将其组织在结构化Request实例中。然后控制器的操作使用该实例将数据传递到模型层

路由不应该验证输入。

于 2013-04-06T12:55:00.407 回答