Как я могу санировать ввод пользователя с помощью PHP?

Есть ли где-нибудь функция-ловушка, которая хорошо работает для дезинфекции пользовательского ввода для SQL-инъекций и XSS-атак, но при этом допускает определенные типы HTML-тегов?

Ответы

Ответ 1

Это распространенное заблуждение, что пользовательский ввод может быть отфильтрован. В PHP даже есть (теперь устаревшая) "функция", называемая magic-quotes, которая основывается на этой идее. Это ерунда. Забудьте о фильтрации (или очистке, или как там ее называют).

То, что вы должны сделать, чтобы избежать проблем, довольно просто: всякий раз, когда вы встраиваете строку в чужой код, вы должны избегать ее, в соответствии с правилами этого языка. Например, если вы встраиваете строку в некоторый SQL, ориентированный на MySQL, вы должны экранировать строку с помощью функции MySQL для этой цели (mysqli_real_escape_string). (Или, в случае баз данных, использование подготовленных операторов является лучшим подходом, когда это возможно.)

Другой пример - HTML: если вы встраиваете строки в разметку HTML, вы должны экранировать их с помощью htmlspecialchars. Это означает, что каждый оператор echo или print должен использовать htmlspecialchars.

Третьим примером могут быть команды оболочки: если вы собираетесь встраивать строки (например, аргументы) во внешние команды и вызывать их с помощью exec, то вы должны использовать escapeshellcmd и escapeshellarg.

И так далее, и тому подобное...

Единственный случай, когда вам нужно активно фильтровать данные, это если вы принимаете предварительно отформатированный ввод. Например, если вы разрешите своим пользователям публиковать разметку HTML, которую вы планируете показывать на сайте. Однако вам следует избегать этого любой ценой, поскольку независимо от того, насколько хорошо вы его фильтруете, это всегда будет потенциальной дырой в безопасности.

Ответ 2

Не пытайтесь предотвратить внедрение SQL путем дезинфекции входных данных.

Вместо этого не позволяют использовать данные при создании кода SQL. Используйте подготовленные выражения (т.е. Используя параметры в запросе шаблона), который использует связанные переменные. Это единственный способ гарантировать от SQL-инъекции.

Подробнее о предотвращении SQL-инъекции см. на моем веб-сайте http://bobby-tables.com/.

Ответ 3

Нет. Вы не можете полностью фильтровать данные без какого-либо контекста того, для чего это необходимо. Иногда вы хотите взять SQL-запрос в качестве входных данных, и иногда вы хотите взять HTML в качестве ввода.

Вам нужно отфильтровать вход в белый список - убедитесь, что данные соответствуют некоторой спецификации того, что вы ожидаете. Затем вам нужно избежать этого, прежде чем использовать его, в зависимости от контекста, в котором вы его используете.

Процесс экранирования данных для SQL - для предотвращения внедрения SQL - сильно отличается от процесса экранирования данных для (X) HTML, чтобы предотвратить XSS.

Ответ 4

В PHP появились новые приятные функции filter_input, которые, например, освобождают вас от поиска "конечного регулярного выражения электронной почты" теперь, когда есть встроенный тип FILTER_VALIDATE_EMAIL.

Мой собственный класс фильтра (использует JavaScript для выделения ошибочных полей) может быть инициирован либо запросом ajax, либо обычной формой публикации. (см. пример ниже)

/**
 *  Pork.FormValidator
 *  Validates arrays or properties by setting up simple arrays. 
 *  Note that some of the regexes are for dutch input!
 *  Example:
 * 
 *  $validations = array('name' => 'anything','email' => 'email','alias' => 'anything','pwd'=>'anything','gsm' => 'phone','birthdate' => 'date');
 *  $required = array('name', 'email', 'alias', 'pwd');
 *  $sanitize = array('alias');
 *
 *  $validator = new FormValidator($validations, $required, $sanitize);
 *                  
 *  if($validator->validate($_POST))
 *  {
 *      $_POST = $validator->sanitize($_POST);
 *      // now do your saving, $_POST has been sanitized.
 *      die($validator->getScript()."<script type='text/javascript'>alert('saved changes');</script>");
 *  }
 *  else
 *  {
 *      die($validator->getScript());
 *  }   
 *  
 * To validate just one element:
 * $validated = new FormValidator()->validate('[email protected]', 'email');
 * 
 * To sanitize just one element:
 * $sanitized = new FormValidator()->sanitize('<b>blah</b>', 'string');
 * 
 * @package pork
 * @author SchizoDuckie
 * @copyright SchizoDuckie 2008
 * @version 1.0
 * @access public
 */
class FormValidator
{
    public static $regexes = Array(
            'date' => "^[0-9]{1,2}[-/][0-9]{1,2}[-/][0-9]{4}\$",
            'amount' => "^[-]?[0-9]+\$",
            'number' => "^[-]?[0-9,]+\$",
            'alfanum' => "^[0-9a-zA-Z ,.-_\\s\?\!]+\$",
            'not_empty' => "[a-z0-9A-Z]+",
            'words' => "^[A-Za-z]+[A-Za-z \\s]*\$",
            'phone' => "^[0-9]{10,11}\$",
            'zipcode' => "^[1-9][0-9]{3}[a-zA-Z]{2}\$",
            'plate' => "^([0-9a-zA-Z]{2}[-]){2}[0-9a-zA-Z]{2}\$",
            'price' => "^[0-9.,]*(([.,][-])|([.,][0-9]{2}))?\$",
            '2digitopt' => "^\d+(\,\d{2})?\$",
            '2digitforce' => "^\d+\,\d\d\$",
            'anything' => "^[\d\D]{1,}\$"
    );
    private $validations, $sanatations, $mandatories, $errors, $corrects, $fields;


    public function __construct($validations=array(), $mandatories = array(), $sanatations = array())
    {
        $this->validations = $validations;
        $this->sanitations = $sanitations;
        $this->mandatories = $mandatories;
        $this->errors = array();
        $this->corrects = array();
    }

    /**
     * Validates an array of items (if needed) and returns true or false
     *
     */
    public function validate($items)
    {
        $this->fields = $items;
        $havefailures = false;
        foreach($items as $key=>$val)
        {
            if((strlen($val) == 0 || array_search($key, $this->validations) === false) && array_search($key, $this->mandatories) === false) 
            {
                $this->corrects[] = $key;
                continue;
            }
            $result = self::validateItem($val, $this->validations[$key]);
            if($result === false) {
                $havefailures = true;
                $this->addError($key, $this->validations[$key]);
            }
            else
            {
                $this->corrects[] = $key;
            }
        }

        return(!$havefailures);
    }

    /**
     *
     *  Adds unvalidated class to thos elements that are not validated. Removes them from classes that are.
     */
    public function getScript() {
        if(!empty($this->errors))
        {
            $errors = array();
            foreach($this->errors as $key=>$val) { $errors[] = "'INPUT[name={$key}]'"; }

            $output = '$$('.implode(',', $errors).').addClass("unvalidated");'; 
            $output .= "new FormValidator().showMessage();";
        }
        if(!empty($this->corrects))
        {
            $corrects = array();
            foreach($this->corrects as $key) { $corrects[] = "'INPUT[name={$key}]'"; }
            $output .= '$$('.implode(',', $corrects).').removeClass("unvalidated");';   
        }
        $output = "<script type='text/javascript'>{$output} </script>";
        return($output);
    }


    /**
     *
     * Sanitizes an array of items according to the $this->sanitations
     * sanitations will be standard of type string, but can also be specified.
     * For ease of use, this syntax is accepted:
     * $sanitations = array('fieldname', 'otherfieldname'=>'float');
     */
    public function sanitize($items)
    {
        foreach($items as $key=>$val)
        {
            if(array_search($key, $this->sanitations) === false && !array_key_exists($key, $this->sanitations)) continue;
            $items[$key] = self::sanitizeItem($val, $this->validations[$key]);
        }
        return($items);
    }


    /**
     *
     * Adds an error to the errors array.
     */ 
    private function addError($field, $type='string')
    {
        $this->errors[$field] = $type;
    }

    /**
     *
     * Sanitize a single var according to $type.
     * Allows for static calling to allow simple sanitization
     */
    public static function sanitizeItem($var, $type)
    {
        $flags = NULL;
        switch($type)
        {
            case 'url':
                $filter = FILTER_SANITIZE_URL;
            break;
            case 'int':
                $filter = FILTER_SANITIZE_NUMBER_INT;
            break;
            case 'float':
                $filter = FILTER_SANITIZE_NUMBER_FLOAT;
                $flags = FILTER_FLAG_ALLOW_FRACTION | FILTER_FLAG_ALLOW_THOUSAND;
            break;
            case 'email':
                $var = substr($var, 0, 254);
                $filter = FILTER_SANITIZE_EMAIL;
            break;
            case 'string':
            default:
                $filter = FILTER_SANITIZE_STRING;
                $flags = FILTER_FLAG_NO_ENCODE_QUOTES;
            break;

        }
        $output = filter_var($var, $filter, $flags);        
        return($output);
    }

    /** 
     *
     * Validates a single var according to $type.
     * Allows for static calling to allow simple validation.
     *
     */
    public static function validateItem($var, $type)
    {
        if(array_key_exists($type, self::$regexes))
        {
            $returnval =  filter_var($var, FILTER_VALIDATE_REGEXP, array("options"=> array("regexp"=>'!'.self::$regexes[$type].'!i'))) !== false;
            return($returnval);
        }
        $filter = false;
        switch($type)
        {
            case 'email':
                $var = substr($var, 0, 254);
                $filter = FILTER_VALIDATE_EMAIL;    
            break;
            case 'int':
                $filter = FILTER_VALIDATE_INT;
            break;
            case 'boolean':
                $filter = FILTER_VALIDATE_BOOLEAN;
            break;
            case 'ip':
                $filter = FILTER_VALIDATE_IP;
            break;
            case 'url':
                $filter = FILTER_VALIDATE_URL;
            break;
        }
        return ($filter === false) ? false : filter_var($var, $filter) !== false ? true : false;
    }       



}

Конечно, имейте в виду, что вам также нужно выполнять экранирование SQL-запросов в зависимости от того, какой тип БД вы используете (mysql_real_escape_string() бесполезен, например, для SQL-сервера). Возможно, вы захотите обработать это автоматически на соответствующем прикладном уровне, таком как ORM. Также, как уже упоминалось выше: для вывода в html используйте другие специальные функции php, такие как htmlspecialchars;)

Для того, чтобы действительно разрешить ввод HTML с разделенными классами и/или тегами, используйте один из выделенных пакетов проверки xss. НЕ ПИШИТЕ СВОИ СОБСТВЕННЫЕ РЕКЕКСЫ ДЛЯ РАЗБОРКИ HTML!

Ответ 5

Нет, нет.

Прежде всего, SQL-инъекция - это проблема фильтрации входных данных, а XSS - выход, экранирующий один - поэтому вы даже не выполняли бы эти две операции в жизненном цикле кода.

Основные правила большого пальца

  • Для SQL-запроса, свяжите параметры (как с PDO) или используйте собственную функцию экранирования для переменных запроса (например, mysql_real_escape_string())
  • Используйте strip_tags() для фильтрации нежелательных HTML
  • Сбросьте все остальные выходные данные с помощью htmlspecialchars() и помните о 2-м и 3-м параметрах здесь.

Ответ 6

Чтобы устранить проблему XSS, просмотрите Очиститель HTML. Он довольно конфигурируется и имеет достойный послужной список.

Что касается атак SQL-инъекций, убедитесь, что вы проверяете ввод пользователя, а затем запустите его, хотя mysql_real_escape_string(). Однако функция не победит все атаки на инъекции, поэтому важно проверить данные перед тем, как вставить их в строку запроса.

Лучшим решением является использование подготовленных операторов.

Ответ 8

Один трюк, который может помочь в конкретном случае, когда у вас есть страница типа /mypage?id=53, и вы используете id в предложении WHERE, чтобы убедиться, что идентификатор определенно является целым числом, например:

if (isset($_GET['id'])) {
  $id = $_GET['id'];
  settype($id, 'integer');
  $result = mysql_query("SELECT * FROM mytable WHERE id = '$id'");
  # now use the result
}

Но, конечно, это только устраняет одну конкретную атаку, поэтому читайте все остальные ответы. (И да, я знаю, что код выше невелик, но он показывает конкретную защиту.)

Ответ 9

Методы для очистки пользовательского ввода с помощью PHP:

  • Используйте современные версии MySQL и PHP.

  • Установите кодировку явно:

    • $mysqli->set_charset("utf8");
      инструкция
    • $pdo = new PDO('mysql:host=localhost;dbname=testdb;charset=UTF8', $user, $password);
      инструкция
    • $pdo->exec("set names utf8");
      инструкция
    • $pdo = new PDO(
      "mysql:host=$host;dbname=$db", $user, $pass, 
      array(
      PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
      PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8"
      )
      );
      инструкция
    • mysql_set_charset('utf8')
      [устарело в PHP 5.5.0, удалено в PHP 7.0.0].
  • Используйте безопасные кодировки:

    • Выберите utf8, latin1, ascii.., не используйте уязвимые наборы символов big5, cp932, gb2312, gbk, sjis.
  • Используйте пространственную функцию:

    • MySQLi подготовил заявления:
      $stmt = $mysqli->prepare('SELECT * FROM test WHERE name = ? LIMIT 1'); 
      $param = "' OR 1=1 /*";
      $stmt->bind_param('s', $param);
      $stmt->execute();
    • PDO :: quote() - помещает кавычки вокруг входной строки (если требуется) и экранирует специальные символы во входной строке, используя стиль цитирования, соответствующий базовому драйверу:

      $pdo = new PDO('mysql:host=localhost;dbname=testdb;charset=UTF8', $user, $password);explicit set the character set
      $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);disable emulating prepared statements to prevent fallback to emulating statements that MySQL can't prepare natively (to prevent injection)
      $var = $pdo->quote("' OR 1=1 /*");not only escapes the literal, but also quotes it (in single-quote ' characters) $stmt = $pdo->query("SELECT * FROM test WHERE name = $var LIMIT 1");
    • Подготовленные операторы PDO: против подготовленных MySQLi операторов поддерживается больше драйверов базы данных и именованных параметров:

      $pdo = new PDO('mysql:host=localhost;dbname=testdb;charset=UTF8', $user, $password);explicit set the character set
      $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);disable emulating prepared statements to prevent fallback to emulating statements that MySQL can't prepare natively (to prevent injection) $stmt = $pdo->prepare('SELECT * FROM test WHERE name = ? LIMIT 1'); $stmt->execute(["' OR 1=1 /*"]);
    • mysql_real_escape_string [устарело в PHP 5.5.0, удалено в PHP 7.0.0].
    • mysqli_real_escape_string Экранирует специальные символы в строке для использования в операторе SQL с учетом текущей кодировки соединения. Но рекомендуется использовать подготовленные операторы, поскольку они не являются просто экранированными строками, оператор предлагает полный план выполнения запроса, включая оптимизированные таблицы и индексы, которые он будет использовать.
    • Используйте одинарные кавычки ('') вокруг переменных внутри вашего запроса.
  • Проверьте, что переменная содержит то, что вы ожидаете:

    • Если вы ожидаете целое число, используйте:
      ctype_digit — Check for numeric character(s);
      $value = (int) $value;
      $value = intval($value);
      $var = filter_var('0755', FILTER_VALIDATE_INT, $options);
    • Для строк используйте:
      is_string() — Find whether the type of a variable is string

      Использовать функцию фильтра filter_var() - фильтрует переменную с указанным фильтром:
      $email = filter_var($email, FILTER_SANITIZE_EMAIL);
      $newstr = filter_var($str, FILTER_SANITIZE_STRING);
      больше предопределенных фильтров
    • filter_input() - получает определенную внешнюю переменную по имени и дополнительно фильтрует ее:
      $search_html = filter_input(INPUT_GET, 'search', FILTER_SANITIZE_SPECIAL_CHARS);
    • preg_match() - выполняет сопоставление с регулярным выражением;
    • Напишите свою собственную функцию проверки.

Ответ 10

Что вы здесь описываете, это две отдельные проблемы:

  • Очистка/фильтрация пользовательских входных данных.
  • Выход из экранов.

1) Пользовательский вход всегда должен считаться плохим.

Использование подготовленных операторов или/и фильтрация с помощью mysql_real_escape_string, безусловно, обязательно. PHP также имеет filter_input, встроенный в который является хорошим местом для начала.

2) Это большая тема, и это зависит от контекста выводимых данных. Для HTML существуют такие решения, как htmlpurifier. как правило, всегда избегайте всего, что вы выводите.

Оба вопроса слишком велики, чтобы входить в один пост, но есть много сообщений, которые более подробно рассматриваются:

Способы вывода PHP

Более безопасный вывод PHP

Ответ 11

Если вы используете PostgreSQL, вход с PHP может быть экранирован с помощью pg_escape_string()

 $username = pg_escape_string($_POST['username']);

Из документации (http://php.net/manual/es/function.pg-escape-string.php):

pg_escape_string() реализует строку для запроса базы данных. Он возвращает escape-строку в формате PostgreSQL без кавычек.

Ответ 12

Самый простой способ избежать ошибок при дезинфекции входных данных и экранировании данных - использовать фреймворк PHP, например Symfony, Nette и т.д. или часть этой структуры (механизм шаблонов, уровень базы данных, ORM).

Шаблонный движок, например Twig, или по умолчанию у Latte есть выход, - вам не нужно решать вручную, если вы правильно ускользнул от вашего вывода в зависимости от контекста (HTML или Javascript часть веб-страницы).

Framework автоматически дезинфицирует ввод, и вы должны использовать переменные $_POST, $_GET или $_SESSION напрямую, но через механизм, такой как маршрутизация, обработка сеансов и т.д.

И для уровня базы данных (модели) существуют рамки ORM, такие как Doctrine или обертки вокруг PDO, например Nette Database.

Подробнее об этом вы можете узнать здесь Что такое программная среда?

Ответ 13

Просто хотел добавить, что в вопросе выхода escaping, если вы используете php DOMDocument, чтобы сделать свой вывод html, он автоматически выйдет в правильном контексте. Атрибут (value = "") и внутренний текст строки <span> не равны. Чтобы быть в безопасности от XSS, прочитайте следующее: Защитный чехол OWASP XSS

Ответ 14

Нет никакой общей функции, потому что есть несколько проблем, которые необходимо решить.

  • SQL Injection. Сегодня, как правило, каждый PHP-проект должен использовать подготовленные инструкции через объекты данных PHP (PDO ) в качестве лучшей практики, предотвращая ошибку от бродячей цитаты, а также полнофункциональное решение против инъекций. Это также самый гибкий и безопасный способ доступа к вашей базе данных.

    Откажитесь от (Единственное правильное) руководство PDO для почти всего, что вам нужно знать о PDO. (Искренняя благодарность главному вкладчику SO, @YourCommonSense, за этот отличный ресурс по этому вопросу.)

  • XSS - санируйте данные по пути в...

    • HTML-очиститель длится довольно долго и по-прежнему активно обновляется. Вы можете использовать его для дезинфекции вредоносного ввода, сохраняя при этом щедрый и настраиваемый белый список тегов. Отлично работает со многими редакторами WYSIWYG, но может быть тяжелым для некоторых случаев использования.

    • В других случаях, когда мы вообще не хотим принимать HTML/Javascript, я нашел эту простую функцию полезной (и прошел несколько проверок против XSS):

      /* Prevent XSS input */ function sanitizeXSS () { $_GET = filter_input_array(INPUT_GET, FILTER_SANITIZE_STRING); $_POST = filter_input_array(INPUT_POST, FILTER_SANITIZE_STRING); $_REQUEST = (array)$_POST + (array)$_GET + (array)$_REQUEST; }

  • XSS - очистите данные от выхода..., если вы не гарантируете, что данные были надлежащим образом дезинфицированы до того, как вы добавите их в свою базу данных, вам нужно будет дезинфицировать их перед их отображением для вашего пользователя, мы можем использовать эти полезные функции PHP:

    • Когда вы вызываете echo или print, чтобы отображать предоставленные пользователем значения, используйте htmlspecialchars, если данные не были должным образом дезинфицированы безопасно и разрешено отображать HTML.
    • json_encode - это безопасный способ предоставления пользовательских значений от PHP до Javascript
  • Вы вызываете внешние команды оболочки с помощью exec() или system() или оператору backtick Если это так, в дополнение к SQL Injection и XSS у вас может возникнуть дополнительная проблема для адресации пользователей, выполняющих вредоносные команды на вашем сервере. Вам нужно использовать escapeshellcmd, если вы хотите избежать всей команды OR escapeshellarg, чтобы избежать отдельных аргументов.

Ответ 15

Никогда не доверяйте пользовательским данным.

function clean_input($data) {
  $data = trim($data);
  $data = stripslashes($data);
  $data = htmlspecialchars($data);
  return $data;
}

Функция trim() удаляет пробелы и другие предопределенные символы с обеих сторон строки.

Функция stripslashes() удаляет обратную косую черту

Функция htmlspecialchars() преобразует некоторые предопределенные символы в объекты HTML.

Предопределенные символы:

& (ampersand) becomes &amp;
" (double quote) becomes &quot;
' (single quote) becomes &#039;
< (less than) becomes &lt;
> (greater than) becomes &gt;

Ответ 16

Вы никогда не дезинфицируете ввод.

Вы всегда дезинфицируете выход.

Преобразования, которые вы применяете к данным, чтобы сделать их безопасными для включения в инструкцию SQL, полностью отличаются от тех, которые вы применяете для включения в HTML, полностью отличаются от тех, которые вы применяете для включения в Javascript, полностью отличаются от тех, которые вы применяете для включения в LDIF полностью отличаются от тех, которые вы применяете для включения в CSS, полностью отличаются от тех, которые вы применяете для включения в электронную почту....

В любом случае проверить ввод - решить, следует ли его принять для дальнейшей обработки или сообщить пользователю, что это неприемлемо. Но не применяйте никаких изменений к представлению данных, пока он не покинет землю PHP.

Долгое время кто-то пытался изобрести один-единственный механизм для экранирования данных, и мы закончили с " magic_quotes", который не обеспечивал надлежащее удаление данных для всех целей вывода и приводил к другой установке, требующей работы другого кода.

Ответ 17

Существует расширение фильтра (howto-link, manual), который хорошо работает со всеми переменными GPC. Это не волшебное дело, но вам все равно придется его использовать.

Ответ 18

Я вижу, что php фильтр очищает специальные специальные символы, которые пригодятся.

лайк:

    $a=fliter_var($_POST['a'],FILTER_SANITIZE_SPECIAL_CHARS);

Тем не менее, на складе, я думаю, что это может быть лучше, потому что, глядя на код c, он фильтрует только "'\ <> & и \0, так что я вижу, что это хороший способ очистки. Однако, изменение исходного кода включение этих других символов, таких как /{} [].; 'усилило бы эту функцию в строке кодирования (enc [' ']):

    void php_filter_special_chars(PHP_INPUT_FILTER_PARAM_DECL)
{
unsigned char enc[256] = {0};

php_filter_strip(value, flags);

/* encodes ' " < > & \0 to numerical entities */
enc['\''] = enc['"'] = enc['<'] = enc['>'] = enc['&'] = enc[0] = 1;

/* if strip low is not set, then we encode them as &#xx; */
memset(enc, 1, 32);

if (flags & FILTER_FLAG_ENCODE_HIGH) {
    memset(enc + 127, 1, sizeof(enc) - 127);
}

php_filter_encode_html(value, enc);
}

Ответ 19

Лучший метод BASIC для дезинфекции ввода пользователя с помощью PHP:


    function sanitizeString($var)
    {
        $var = stripslashes($var);
        $var = strip_tags($var);
        $var = htmlentities($var);
        return $var;
    }

    function sanitizeMySQL($connection, $var)
    {
        $var = $connection->real_escape_string($var);
        $var = sanitizeString($var);
        return $var;
    }