4

输出或输入过滤?

我经常看到人们写“过滤你的输入”,“清理你的输入”,不信任用户数据,但我只同意最后一个,我认为信任任何外部数据都是一个坏主意,即使它是相对于内部的系统。

输入过滤: 我看到的最常见的。采取表单发布数据或任何其他外部信息源并在保存时定义一些边界,例如确保文本是文本,数字是数字,sql是有效的sql,html是有效的html并且它不包含有害标记,然后将“安全”数据保存在数据库中。

但是在获取数据时,您只需使用数据库中的原始数据。

在我个人看来,数据从来都不是真正安全的。虽然听起来很简单,但只需过滤从表单和 url 中获得的所有内容,实际上它比这要困难得多,它可能对一种语言安全,但对另一种语言则不然。

输出过滤: 这样做时,我将原始未更改的数据(无论它可能是什么)保存到数据库中,然后在访问数据时过滤掉有问题的代码,这有它自己的优势: 这在 html 之间增加了一层和服务器端脚本。 我认为这是各种数据访问分离。

现在数据根据上下文进行过滤,例如,我可以将数据库中的数据以纯转义文本、html 或任何地方的形式呈现在 html 文档中。

这里的缺点是您永远不要忘记添加过滤,这比输入过滤要难一些,并且在提供数据时会使用更多的 CPU。

这并不意味着您不需要进行验证检查,您仍然需要,只是您不保存过滤后的数据,您验证它并在数据因某种原因无效时向用户提供错误消息。

因此,与其“过滤你的输入”,不如说它应该是“验证你的输入,过滤你的输出”。

那么我应该使用“输入验证和过滤”还是“输入验证和输出过滤”?

4

3 回答 3

4

输入和输出没有通用的“过滤”。

验证您的输入,转义您的输出。你如何做到这一点取决于上下文。

验证是关于确保输入在合理的范围内,例如字符串的长度、美元金额的数量或正在更新的记录归执行更新的用户所有。这是为了保持数据的逻辑一致性,防止人们做一些事情,比如将他们购买的产品的价格归零或删除他们不应该访问的记录。它与“过滤”或转义输入中的特定字符无关。

转义是一个上下文问题,只有当您对可能因注入某些字符而中毒的数据执行某些操作时才真正有意义。转义发送到浏览器的数据中的 HTML 字符。转义您发送到数据库的数据中的 SQL 字符。在 JavaScript<script>标记中写入数据时转义引号。请注意您正在处理的数据将如何被您传递给它的系统解释并相应地转义。

于 2010-10-14T19:31:06.460 回答
0

最好的解决方案是过滤两者。只做一个会使您更有可能错过案件,并且可能使您容易受到其他类型的攻击。

如果您只进行输入过滤,攻击者可能会找到绕过您的输入并导致漏洞的方法。这可能是有权访问您的数据库的人手动输入数据,也可能是攻击者通过 FTP 或其他未检查的通道或许多其他方法上传文件。

如果你只做输出过滤,你可以让自己对 SQL 注入和其他服务器端攻击保持开放。

最好的方法是过滤输入和输出。它可能会导致更多负载,但会大大降低攻击者发现漏洞的风险。

于 2010-10-14T19:29:22.940 回答
-1

对我来说听起来像是语义。无论哪种方式,要记住的重要一点是确保不良数据不会进入系统。

进行输出过滤而不是输入过滤要求 SQL Injection 。

替代文字

于 2010-10-14T19:29:58.547 回答