funkcja PHP aby zapobiec SQL injection oraz XSS

Question

jestem tring aby mój PHP tak bezpieczne, jak to możliwe, a dwie główne rzeczy, staram się unikać są

• mySQL Zastrzyki
• Cross-Side Scripting (XSS)

---

jest to skrypt mam przeciwko mySQL wstrzykiwań:

function make_safe($variable) { 
$variable = mysql_real_escape_string(trim($variable)); 
return $variable; } 

http://www.addedbytes.com/writing-secure-php/writing-secure-php-1/

---

Przeciwko XSS, znalazłem to:

$username = strip_tags($_POST['username']); 

---

Teraz chcę zjednoczyć dwa w jednej funkcji. Czy byłby to najlepszy sposób na zrobienie tego? :

function make_safe($variable) { 
$variable = strip_tags(mysql_real_escape_string(trim($variable))); 
return $variable; } 

Albo robi mysql_real_escape_string już zapobiec XSS? I czy jest jeszcze coś, co mógłbym dodać do tej funkcji, aby zapobiec innym formom hakowania?

Answer 1

mysql_real_escape_string() nie zapobiega XSS. Uniemożliwi to jedynie iniekcje SQL.

Aby walczyć z XSS, musisz użyć htmlspecialchars() lub strip_tags(). Pierwszy przekształci znaki specjalne, takie jak < na <, które będą wyświetlane jako <, ale nie zostaną wykonane. 2. po prostu usuń wszystkie znaczniki.

Nie polecam wykonywania tej funkcji specjalnej, a nawet wykonywania jednej funkcji, aby to zrobić, ale dany przykład zadziała. Zakładam.

Answer 2

Funkcja:

function make_safe($variable) 
{ 
    $variable = strip_tags(mysql_real_escape_string(trim($variable))); 
    return $variable; 
} 

Nie działa

SQL Injection i XSS są dwie różne bestie. Ponieważ każdy z nich wymaga innego ucieczki, musisz oddzielnie korzystać z każdej funkcji ewakuacji strip_tags i mysql_real_escape_string.
Łącząc je, pokonasz bezpieczeństwo każdego z nich.

Podczas wprowadzania danych do bazy danych należy używać standardu mysql_real_escape_string().
Użyj strip_tags() podczas wypytywania danych z bazy danych przed wyświetleniem ich na ekranie.

Dlaczego połączenie dwóch funkcji jest niebezpieczne
Od ujścia konie: http://php.net/manual/en/function.strip-tags.php

Ponieważ strip_tags() nie faktycznie zweryfikować HTML, częściowe lub połamane znaczniki mogą skutkować usunięciem więcej tekstu/dane niż oczekiwano.

Więc wprowadzając nieprawidłowy kod HTML na pola bazy danych inteligentną atakująca może wykorzystać swoją naiwną implementację w pokonaniu mysql_real_escape_string() w kombi.

Answer 3

To, na co naprawdę warto zwrócić uwagę, to używanie prepared statements i PDO zarówno do tworzenia warstwy abstrakcji w bazie danych, jak i do całkowitego wyeliminowania ataków typu SQL injection.

Jeśli chodzi o XSS, po prostu upewnij się, że nie masz zaufania do danych wprowadzanych przez użytkownika. Uruchom dane strip_tags lub htmlentities, gdy przechowujesz dane lub kiedy je wypiszesz (nie oba, ponieważ spowoduje to bałagan w wynikach) i wszystko będzie w porządku.