我是 PHP 新手,我正在这里学习教程: 链接
用户可以在输入中编写 php 代码并基本上搞砸您的网站,这非常可怕,对吧?
好吧,现在我有点偏执了,我宁愿立即学习安全最佳实践,也不愿在我养成一些习惯后尝试将它们塞进去。
由于我是 PHP 新手(实际上是两天前开始学习的),所以我可以轻松学习任何东西而不会感到困惑。
还有什么其他方法可以防止我网站上的恶作剧?:D
delete
问问题
189 次
5 回答
4
开发 PHP 应用程序时需要牢记几件事,strip_tags()仅对其中一项有所帮助。实际上strip_tags(),虽然有效,但可能会做更多的事情:htmlspecialchars()根据情况转换可能危险的字符甚至应该是更可取的。
一般来说,这一切都归结为两个简单的规则:过滤所有输入,转义所有输出。现在您需要了解究竟是什么构成了输入和输出。
输出很简单,您的应用程序发送到浏览器的所有内容都是输出,因此htmlspecialchars()每次输出不是您自己编写的数据时,请使用或任何其他转义函数。
输入是任何未在 PHP 代码中硬编码的数据:通过 POST 来自表单、通过 GET 来自查询字符串、来自 cookie,所有这些都必须根据您的需要以最合适的方式进行过滤。即使来自数据库的数据也应被视为潜在危险;尤其是在共享服务器上,您永远不知道数据库是否在其他地方以可能影响您的应用程序的方式受到损害。
过滤数据有不同的方法:白名单只允许选择的值,基于预期输入格式的验证等等。我从不建议的一件事是尝试修复您从用户那里获得的数据:让他们按照您的规则行事,如果您没有得到您期望的结果,请拒绝请求而不是尝试清理它。
特别注意,如果您处理数据库,则必须注意 SQL 注入:这种攻击依赖于您没有正确构造您发送到数据库的查询字符串,以便攻击者可以伪造它们试图执行恶意指令。您应该始终使用转义函数,例如,或者更好的是,使用带有mysqli 扩展名或使用PDOmysql_real_escape_string()的准备好的语句。
关于这个主题还有更多要说的,但这些要点应该可以帮助您入门。
高温高压
编辑:澄清一下,通过“过滤输入”我的意思是决定什么是好的和什么是坏的,而不是以任何方式修改输入数据。正如我所说,除非将用户数据输出到浏览器,否则我永远不会修改用户数据。
于 2010-02-13T20:06:39.573 回答
2
strip_tags 实际上并不是最好的使用方法,它并不能在所有情况下都提供保护。
HTML 净化: http ://htmlpurifier.org/
是处理传入数据的真正好选择,但它本身仍然不能满足所有用例 - 但它绝对是一个很好的起点。
于 2010-02-13T19:55:50.293 回答
2
我不得不说你提到的教程对安全性有点误导:
请务必注意,您永远不想直接使用 $_GET 和 $_POST 值。始终将它们的值发送到局部变量,并在那里使用它。当您直接访问(或输出)$_GET 和 $_POST 时,这些值涉及到几个安全隐患。
这是无稽之谈。将值复制到局部变量并不比直接使用 $_GET 或 $_POST 变量更安全。
事实上,任何数据都没有本质上不安全的地方。重要的是你用它做什么。您可能有一个包含; rm -rf /. 例如,这适用于在 HTML 页面上输出或存储在数据库中。
唯一不安全的情况是当您使用类似systemor的命令时exec。这就是您需要担心您使用的变量的时候了。在这种情况下,您可能希望使用诸如白名单之类的东西,或者至少通过escapeshellarg.
与向数据库发送查询、向浏览器发送 HTML 等类似。在将数据发送到其他地方之前,使用适当的目的地转义方法转义数据。
于 2010-02-13T20:26:12.527 回答
1
strip_tags 删除每一段 html。更复杂的解决方案基于白名单(即允许特定的 html 标签)。一个好的白名单库是 htmlpurifier http://htmlpurifier.org/
当然在数据库方面使用 mysql_real_escape_string 或 pg_escape_string 之类的函数
于 2010-02-13T19:57:14.427 回答
1
好吧,可能我错了,但是...在所有文献中,我读过,人们说使用 htmlspellchars 更好。
此外,相当有必要转换输入数据。(例如,对于 int,如果您确定它是用户 ID)。
好吧,事先,当您开始使用数据库时 - 使用 mysql_real_escape_string 而不是 mysql_escape_string 来防止 SQL 注入(在一些旧书中仍然写成 mysql_escape_string)。
于 2010-02-13T20:06:24.567 回答