Parametry sanitize $ _GET, aby uniknąć XSS i innych ataków

Question

Mam witrynę w php, która ma include(), aby osadzić zawartość w szablonie. Strona do załadowania podana jest w parametrze get, dodaję ".php" na końcu parametru i dołączam tę stronę. Muszę wykonać pewne sprawdzenie bezpieczeństwa, aby uniknąć XSS lub innych rzeczy (nie wtrysku mysql, ponieważ nie mamy bazy danych). Oto, co wymyśliłem.

$page = $_GET['page']; 

if(!strpos(strtolower($page), 'http') || !strpos($page, '/') || 
    !strpos($page, '\\') || !strpos($page, '..')) { 
     //append ".php" to $page and include the page 

Czy jest coś, co mogę zrobić, aby dodatkowo oczyścić mój wkład?

Answer 1

$page = preg_replace('/[^-a-zA-Z0-9_]/', '', $_GET['page']); 

jest prawdopodobnie najszybszym sposobem dezynfekcji to będzie to brać niczego i upewnij się, że zawiera tylko litery, cyfry, podkreślenia ani kresek.

Answer 2

Zdefiniuj jawną listę stron w kodzie źródłowym, a następnie użyj jej do sprawdzenia danych wejściowych. Tak, to więcej pracy, ale daje bardzo jasne, co jest dozwolone, a co nie. Na przykład:

$AVAILABLE_PAGES = array('home', 'news', ...); 
$AVAILABLE_PAGES = array_fill_keys($AVAILABLE_PAGES, 1); 

$page = $_GET['page']; 
if (!$AVAILABLE_PAGES[$page]) { 
    header("HTTP/1.0 404 Not Found"); 
    die('Page not found.'); 
} 

include "pages/$page.php"; 

Answer 3

Nie "sanityzuj" - Ataki są specyficzne dla wykorzystania danych, a nie ich źródła. Escape wartości, zamiast je wyprowadzać. Zobacz także moją odpowiedź na: What’s the best method for sanitizing user input with PHP?