ඇතැම් වර්ගයේ HTML ටැග් වලට ඉඩ දෙන අතරම, SQL එන්නත් කිරීම සහ XSS ප්‍රහාර සඳහා පරිශීලක ආදානය සනීපාරක්ෂාව සඳහා හොඳින් ක්‍රියාත්මක වන යම් තැනක කැචල් ශ්‍රිතයක් තිබේද?

පරිශීලක ආදානය පෙරීම කළ හැකි බව පොදු වැරදි මතයකි. මෙම අදහස මත ගොඩනැඟෙන මැජික්-කෝට්ස් ලෙස හැඳින්වෙන (දැන් අතහැර දමා ඇති) “අංගයක්” PHP සතුව ඇත . එය විකාරයකි. පෙරීම ගැන අමතක කරන්න (හෝ පිරිසිදු කිරීම හෝ මිනිසුන් එය හඳුන්වන ඕනෑම දෙයක්).

ගැටළු වළක්වා ගැනීම සඳහා ඔබ කළ යුතු දේ තරමක් සරල ය: ඔබ විදේශීය කේතයක් තුළ නූලක් කාවැද්දූ සෑම විටම එම භාෂාවේ නීතිරීතිවලට අනුව ඔබ එයින් ගැලවිය යුතුය. උදාහරණයක් ලෙස, ඔබ MySQL ඉලක්ක කර ගනිමින් යම් SQL එකක නූලක් කාවැද්දුවහොත්, ඔබ මේ සඳහා ( mysqli_real_escape_string) සඳහා MySQL හි ක්‍රියාකාරීත්වය සමඟ නූලෙන් ගැලවිය යුතුය . (හෝ, දත්ත සමුදායන් සම්බන්ධයෙන්, හැකි විට සූදානම් කළ ප්‍රකාශ භාවිතා කිරීම වඩා හොඳ ප්‍රවේශයකි.)

තවත් උදාහරණයක් වන්නේ HTML ය: ඔබ HTML සලකුණු තුළ නූල් කාවැද්දුවහොත්, ඔබ එයින් ගැලවිය යුතුය htmlspecialchars. මෙයින් අදහස් කරන්නේ සෑම ප්‍රකාශයක්ම echoහෝ printප්‍රකාශයක්ම භාවිතා කළ යුතු htmlspecialcharsබවයි.

තුන්වන උදාහරණය ෂෙල් විධාන විය හැකිය: ඔබ බාහිර විධානයන්ට නූල් (තර්ක වැනි) කාවැද්දීමට යන්නේ නම් සහ ඒවා සමඟ අමතන්න execනම්, ඔබ භාවිතා කළ යුතු escapeshellcmdඅතර escapeshellarg.

සහ එසේ ය ...

මෙම පමණක් ඔබ preformatted ආදාන භාර කරන්නේ නම්, ඔබ ක්රියාකාරීව පෙරහන දත්ත කිරීමට අවශ්ය වූ නඩුව වේ. උදාහරණයක් ලෙස, ඔබ ඔබේ පරිශීලකයින්ට HTML සලකුණු පළ කිරීමට ඉඩ දෙන්නේ නම්, ඔබ වෙබ් අඩවියේ ප්‍රදර්ශනය කිරීමට අදහස් කරයි. කෙසේ වෙතත්, ඔබ මෙය කොතරම් හොඳින් පෙරීම කළත්, එය සැමවිටම විභව ආරක්ෂක වළල්ලක් වනු ඇති බැවින් මෙය වළක්වා ගැනීමට ඔබ wise ානවන්ත විය යුතුය.

ආදාන දත්ත සනීපාරක්ෂාව කිරීමෙන් SQL එන්නත් කිරීම වැළැක්වීමට උත්සාහ නොකරන්න.

ඒ වෙනුවට, ඔබේ SQL කේතය නිර්මාණය කිරීමේදී දත්ත භාවිතා කිරීමට ඉඩ නොදෙන්න . බැඳී ඇති විචල්‍යයන් භාවිතා කරන සූදානම් කළ ප්‍රකාශ (එනම් අච්චු විමසුමක පරාමිතීන් භාවිතා කිරීම) භාවිතා කරන්න. SQL එන්නත් කිරීමට එරෙහිව සහතික කළ හැකි එකම ක්‍රමය එයයි.

SQL එන්නත් කිරීම වැළැක්වීම සඳහා කරුණාකර මගේ වෙබ් අඩවිය http://bobby-tables.com/ බලන්න .

නැත. ඔබට අවශ්‍ය දේ පිළිබඳ කිසිදු සන්දර්භයක් නොමැතිව ඔබට සාමාන්‍යයෙන් දත්ත පෙරහන් කළ නොහැක. සමහර විට ඔබට SQL විමසුමක් ආදානය ලෙස ගැනීමට අවශ්‍ය වන අතර සමහර විට ඔබට HTML ආදානය ලෙස ගැනීමට අවශ්‍ය වනු ඇත.

ඔබට සුදු ලැයිස්තුවක් මත ආදානය පෙරීමට අවශ්‍යය - දත්ත ඔබ අපේක්ෂා කරන දේවල යම් පිරිවිතරයන්ට ගැලපෙන බවට සහතික වන්න. ඔබ එය භාවිතා කරන සන්දර්භය අනුව එය භාවිතා කිරීමට පෙර එයින් ගැලවිය යුතුය.

SQL එන්නත් කිරීම වැළැක්වීම සඳහා SQL සඳහා දත්ත වලින් ගැලවීමේ ක්‍රියාවලිය - XSS වැළැක්වීම සඳහා (X) HTML සඳහා දත්ත වලින් ගැලවීමේ ක්‍රියාවලියට වඩා බෙහෙවින් වෙනස් ය.

PHP හි දැන් නව පෙරහන්_ඉන්පුට් කාර්යයන් ඇත, උදාහරණයක් ලෙස 'අවසාන ඊමේල් රීජෙක්ස්' සොයා ගැනීමෙන් ඔබව නිදහස් කරයි.

මගේම පෙරහන් පන්තිය (වැරදි ක්ෂේත්‍ර ඉස්මතු කිරීමට ජාවාස්ක්‍රිප්ට් භාවිතා කරයි) අජැක්ස් ඉල්ලීමක් හෝ සාමාන්‍ය පෝස්ට් පෝස්ට් එකකින් ආරම්භ කළ හැකිය. (පහත උදාහරණය බලන්න)

/**
 *  Pork.FormValidator
 *  Validates arrays or properties by setting up simple arrays. 
 *  Note that some of the regexes are for dutch input!
 *  Example:
 * 
 *  $validations = array('name' => 'anything','email' => 'email','alias' => 'anything','pwd'=>'anything','gsm' => 'phone','birthdate' => 'date');
 *  $required = array('name', 'email', 'alias', 'pwd');
 *  $sanitize = array('alias');
 *
 *  $validator = new FormValidator($validations, $required, $sanitize);
 *                  
 *  if($validator->validate($_POST))
 *  {
 *      $_POST = $validator->sanitize($_POST);
 *      // now do your saving, $_POST has been sanitized.
 *      die($validator->getScript()."<script type='text/javascript'>alert('saved changes');</script>");
 *  }
 *  else
 *  {
 *      die($validator->getScript());
 *  }   
 *  
 * To validate just one element:
 * $validated = new FormValidator()->validate('blah@bla.', 'email');
 * 
 * To sanitize just one element:
 * $sanitized = new FormValidator()->sanitize('<b>blah</b>', 'string');
 * 
 * @package pork
 * @author SchizoDuckie
 * @copyright SchizoDuckie 2008
 * @version 1.0
 * @access public
 */
class FormValidator
{
    public static $regexes = Array(
            'date' => "^[0-9]{1,2}[-/][0-9]{1,2}[-/][0-9]{4}\$",
            'amount' => "^[-]?[0-9]+\$",
            'number' => "^[-]?[0-9,]+\$",
            'alfanum' => "^[0-9a-zA-Z ,.-_\\s\?\!]+\$",
            'not_empty' => "[a-z0-9A-Z]+",
            'words' => "^[A-Za-z]+[A-Za-z \\s]*\$",
            'phone' => "^[0-9]{10,11}\$",
            'zipcode' => "^[1-9][0-9]{3}[a-zA-Z]{2}\$",
            'plate' => "^([0-9a-zA-Z]{2}[-]){2}[0-9a-zA-Z]{2}\$",
            'price' => "^[0-9.,]*(([.,][-])|([.,][0-9]{2}))?\$",
            '2digitopt' => "^\d+(\,\d{2})?\$",
            '2digitforce' => "^\d+\,\d\d\$",
            'anything' => "^[\d\D]{1,}\$"
    );
    private $validations, $sanatations, $mandatories, $errors, $corrects, $fields;


    public function __construct($validations=array(), $mandatories = array(), $sanatations = array())
    {
        $this->validations = $validations;
        $this->sanitations = $sanitations;
        $this->mandatories = $mandatories;
        $this->errors = array();
        $this->corrects = array();
    }

    /**
     * Validates an array of items (if needed) and returns true or false
     *
     */
    public function validate($items)
    {
        $this->fields = $items;
        $havefailures = false;
        foreach($items as $key=>$val)
        {
            if((strlen($val) == 0 || array_search($key, $this->validations) === false) && array_search($key, $this->mandatories) === false) 
            {
                $this->corrects[] = $key;
                continue;
            }
            $result = self::validateItem($val, $this->validations[$key]);
            if($result === false) {
                $havefailures = true;
                $this->addError($key, $this->validations[$key]);
            }
            else
            {
                $this->corrects[] = $key;
            }
        }

        return(!$havefailures);
    }

    /**
     *
     *  Adds unvalidated class to thos elements that are not validated. Removes them from classes that are.
     */
    public function getScript() {
        if(!empty($this->errors))
        {
            $errors = array();
            foreach($this->errors as $key=>$val) { $errors[] = "'INPUT[name={$key}]'"; }

            $output = '$$('.implode(',', $errors).').addClass("unvalidated");'; 
            $output .= "new FormValidator().showMessage();";
        }
        if(!empty($this->corrects))
        {
            $corrects = array();
            foreach($this->corrects as $key) { $corrects[] = "'INPUT[name={$key}]'"; }
            $output .= '$$('.implode(',', $corrects).').removeClass("unvalidated");';   
        }
        $output = "<script type='text/javascript'>{$output} </script>";
        return($output);
    }


    /**
     *
     * Sanitizes an array of items according to the $this->sanitations
     * sanitations will be standard of type string, but can also be specified.
     * For ease of use, this syntax is accepted:
     * $sanitations = array('fieldname', 'otherfieldname'=>'float');
     */
    public function sanitize($items)
    {
        foreach($items as $key=>$val)
        {
            if(array_search($key, $this->sanitations) === false && !array_key_exists($key, $this->sanitations)) continue;
            $items[$key] = self::sanitizeItem($val, $this->validations[$key]);
        }
        return($items);
    }


    /**
     *
     * Adds an error to the errors array.
     */ 
    private function addError($field, $type='string')
    {
        $this->errors[$field] = $type;
    }

    /**
     *
     * Sanitize a single var according to $type.
     * Allows for static calling to allow simple sanitization
     */
    public static function sanitizeItem($var, $type)
    {
        $flags = NULL;
        switch($type)
        {
            case 'url':
                $filter = FILTER_SANITIZE_URL;
            break;
            case 'int':
                $filter = FILTER_SANITIZE_NUMBER_INT;
            break;
            case 'float':
                $filter = FILTER_SANITIZE_NUMBER_FLOAT;
                $flags = FILTER_FLAG_ALLOW_FRACTION | FILTER_FLAG_ALLOW_THOUSAND;
            break;
            case 'email':
                $var = substr($var, 0, 254);
                $filter = FILTER_SANITIZE_EMAIL;
            break;
            case 'string':
            default:
                $filter = FILTER_SANITIZE_STRING;
                $flags = FILTER_FLAG_NO_ENCODE_QUOTES;
            break;

        }
        $output = filter_var($var, $filter, $flags);        
        return($output);
    }

    /** 
     *
     * Validates a single var according to $type.
     * Allows for static calling to allow simple validation.
     *
     */
    public static function validateItem($var, $type)
    {
        if(array_key_exists($type, self::$regexes))
        {
            $returnval =  filter_var($var, FILTER_VALIDATE_REGEXP, array("options"=> array("regexp"=>'!'.self::$regexes[$type].'!i'))) !== false;
            return($returnval);
        }
        $filter = false;
        switch($type)
        {
            case 'email':
                $var = substr($var, 0, 254);
                $filter = FILTER_VALIDATE_EMAIL;    
            break;
            case 'int':
                $filter = FILTER_VALIDATE_INT;
            break;
            case 'boolean':
                $filter = FILTER_VALIDATE_BOOLEAN;
            break;
            case 'ip':
                $filter = FILTER_VALIDATE_IP;
            break;
            case 'url':
                $filter = FILTER_VALIDATE_URL;
            break;
        }
        return ($filter === false) ? false : filter_var($var, $filter) !== false ? true : false;
    }       



}

ඇත්ත වශයෙන්ම, ඔබ භාවිතා කරන්නේ කුමන ආකාරයේ db ද යන්න මත පදනම්ව ඔබේ SQL විමසුම ද පැන යා යුතු බව මතක තබා ගන්න (mysql_real_escape_string () වර්ග සේවාදායකයකට නිෂ් less ල ය). ORM වැනි ඔබේ සුදුසු යෙදුම් ස්ථරයේ මෙය ස්වයංක්‍රීයව හැසිරවීමට ඔබට අවශ්‍ය විය හැකිය. එසේම, ඉහත සඳහන් කළ පරිදි: html වෙත ප්‍රතිදානය කිරීම සඳහා htmlspecialchars වැනි අනෙකුත් php කැපවූ කාර්යයන් භාවිතා කරන්න;)

ඉවත් කරන ලද පන්ති සහ / හෝ ටැග් වැනි HTML ආදානයට සැබවින්ම ඉඩ දීම සඳහා කැපවූ xss වලංගු කිරීමේ පැකේජයක් මත රඳා පවතී. HTML විග්‍රහ කිරීම සඳහා ඔබේම රෙගුලාසි ලියන්න එපා!

නැත, නැත.

පළමුවෙන්ම, SQL එන්නත් කිරීම ආදාන පෙරීමේ ගැටළුවක් වන අතර XSS යනු ප්‍රතිදානයෙන් ගැලවී යන එකකි - එබැවින් ඔබ මෙම ක්‍රියා දෙක එකම වේලාවක කේත ජීවන චක්‍රයේ ක්‍රියාත්මක නොකරනු ඇත.

මාපට ඇඟිල්ලේ මූලික නීති

• SQL විමසුම සඳහා, පරාමිතීන් බන්ධනය කරන්න (PDO සමඟ මෙන්) හෝ විමසුම් විචල්‍යයන් සඳහා ධාවක-ස්වදේශීය ගැලවීමේ ශ්‍රිතයක් භාවිතා කරන්න (වැනි mysql_real_escape_string())
• strip_tags()අනවශ්‍ය HTML පෙරීමට භාවිතා කරන්න
• අනෙක් සියලුම නිමැවුම් වලින් ගැලවී htmlspecialchars()මෙහි 2 වන සහ 3 වන පරාමිතීන් ගැන සැලකිලිමත් වන්න.

XSS ගැටළුව විසඳීම සඳහා, HTML Purifier බලන්න . එය තරමක් වින්‍යාසගත කළ හැකි අතර හොඳ වාර්තාවක් ඇත.

SQL එන්නත් කිරීමේ ප්‍රහාර සම්බන්ධයෙන්, ඔබ පරිශීලක ආදානය පරීක්ෂා කර බලා mysql_real_escape_string () වුවද එය ක්‍රියාත්මක කරන්න. මෙම ක්‍රියාව මඟින් සියලු එන්නත් ප්‍රහාරයන් පරාජය නොකරනු ඇත, එනමුත් ඔබේ විමසුම් නූලට දමන්නට පෙර දත්ත පරීක්ෂා කිරීම වැදගත්ය.

වඩා හොඳ විසඳුමක් වන්නේ සූදානම් කළ ප්‍රකාශ භාවිතා කිරීමයි. මෙම PDO පුස්තකාල හා mysqli දිගුව සහාය මේ.

PHP 5.2 විසින් filter_var ශ්‍රිතය හඳුන්වා දෙන ලදි .

එය විශාල SANITIZE, VALIDATE පෙරහන් සඳහා සහය දක්වයි.

http://php.net/manual/en/function.filter-var.php

ඔබට වැනි පිටුවක් ඇති නිශ්චිත අවස්ථාවකට උදව් කළ හැකි එක් උපක්‍රමයක් නම්, ඔබ කොතැනක හෝ /mypage?id=53වගන්තියක හැඳුනුම්පත භාවිතා කරන්නේ නම්, හැඳුනුම්පත අනිවාර්යයෙන්ම පූර්ණ සංඛ්‍යාවක් බව සහතික කිරීම ය:

if (isset($_GET['id'])) {
  $id = $_GET['id'];
  settype($id, 'integer');
  $result = mysql_query("SELECT * FROM mytable WHERE id = '$id'");
  # now use the result
}

නමුත් ඇත්ත වශයෙන්ම එය එක් විශේෂිත ප්‍රහාරයක් පමණක් කපා හරින බැවින් අනෙක් සියලුම පිළිතුරු කියවන්න. (ඔව්, ඉහත කේතය විශිෂ්ට නොවන බව මම දනිමි, නමුත් එය නිශ්චිත ආරක්‍ෂාව පෙන්වයි.)

PHP සමඟ පරිශීලක ආදානය සනීපාරක්ෂක කිරීමේ ක්‍රම:

• MySQL සහ PHP හි නවීන අනුවාදයන් භාවිතා කරන්න.

• අක්ෂර වින්‍යාසය පැහැදිලිව සකසන්න:

  • $ mysqli-> set_charset ("utf8");

    ^{අත්පොත}

  • $ pdo = නව PDO ('mysql: host = localhost; dbname = testdb; charset = UTF8', $ user, $ password);

    ^{අත්පොත}

  • $ pdo-> exec ("නම් සකසන්න utf8");

    ^{අත්පොත}

  • $ pdo = නව PDO (
    "mysql: host = $ host; dbname = $ db", $ user, $ pass, 
    අරාව (
    PDO :: ATTR_ERRMODE => PDO :: ERRMODE_EXCEPTION,
    PDO :: MYSQL_ATTR_INIT_COMMAND => "නම් සකසන්න utf8"
    )
    );

    ^{අත්පොත}

  • mysql_set_charset ('utf8')

    ^{[PHP 5.5.0 හි ඉවත් කර ඇත, PHP 7.0.0 හි ඉවත් කර ඇත].}

• ආරක්ෂිත අක්ෂර කට්ටල භාවිතා කරන්න:

  • Utf8, latin1, ascii .. තෝරන්න අවදානමට ලක්විය හැකි අක්ෂර ලොකු 5, cp932, gb2312, gbk, sjis භාවිතා නොකරන්න.

• අවකාශීය ශ්‍රිතය භාවිතා කරන්න:

  • MySQLi විසින් සකස් කරන ලද ප්‍රකාශ:
    

    $ stmt = $ mysqli-> සකස් කරන්න ('පරීක්ෂණයෙන් * තෝරන්න WHERE නම =? සීමාව 1'); 
    $ param = "'හෝ 1 = 1 / *"; 
    $ stmt-> bind_param ('s', $ param); 
    $ stmt-> ක්‍රියාත්මක කරන්න ();

  • PDO :: quote () - ආදාන නූල වටා උපුටා දැක්වීම් (අවශ්‍ය නම්) සහ පාදක ධාවකයට උචිත උපුටා දැක්වීමේ ශෛලියක් භාවිතා කරමින් ආදාන නූල තුළ විශේෂ අක්ෂර වලින් ගැලවී යයි:
    

    $ pdo = නව PDO ('mysql: host = localhost; dbname = testdb; charset = UTF8', $ user, $ password); අක්ෂර කට්ටලය පැහැදිලි ලෙස සකසන්න
     $ pdo-> setAttribute (PDO :: ATTR_EMULATE_PREPARES, අසත්ය); MySQL හට ස්වදේශීයව සකස් කළ නොහැකි ප්‍රකාශයන් අනුකරණය කිරීම වැළැක්වීම සඳහා සූදානම් කළ ප්‍රකාශ අනුකරණය කිරීම අක්‍රීය කරන්න (එන්නත් කිරීම වැළැක්වීමට)
     $ var = $ pdo-> quote ("'OR 1 = 1 / *"); වචනානුසාරයෙන් ගැලවීම පමණක් නොව, එය උපුටා දක්වයි (තනි-උපුටා දැක්වීමේ අක්ෂර වලින්)
    $ stmt = $ pdo-> විමසුම ("පරීක්ෂණයෙන් තෝරන්න WHERE නම = $ var LIMIT 1");
    

  • PDO සකස් කළ ප්‍රකාශ : එදිරිව MySQLi සකස් කළ ප්‍රකාශයන් වැඩි දත්ත සමුදා ධාවක සහ නම් කරන ලද පරාමිතීන් සඳහා සහය දක්වයි:
    

    $ pdo = නව PDO ('mysql: host = localhost; dbname = testdb; charset = UTF8', $ user, $ password); අක්ෂර කට්ටලය පැහැදිලි ලෙස සකසන්න
     $ pdo-> setAttribute (PDO :: ATTR_EMULATE_PREPARES, අසත්ය); MySQL හට ස්වදේශීයව සකස් කළ නොහැකි ප්‍රකාශයන් අනුකරණය කිරීම වැළැක්වීම සඳහා සූදානම් කළ ප්‍රකාශ අනුකරණය කිරීම අක්‍රීය කරන්න (එන්නත් කිරීම වැළැක්වීමට)
    $ stmt = $ pdo-> සූදානම් කරන්න ('පරීක්ෂණයෙන් තෝරන්න * නම කොහේද =? සීමාව 1');
    $ stmt-> ක්‍රියාත්මක කරන්න (["'හෝ 1 = 1 / *"]);

  • mysql_real_escape_string ^{[PHP 7.0.0 ඉවත්, PHP 5.5.0 නිකුතුව සමඟ අතහැර].}
  • mysqli_real_escape_string සම්බන්ධතාවයේ වත්මන් අක්ෂර වින්‍යාසය සැලකිල්ලට ගනිමින් SQL ප්‍රකාශයක භාවිතා කිරීම සඳහා නූලක විශේෂ අක්ෂර ගැලවී යයි . නමුත් සකස් කළ ප්‍රකාශ භාවිතා කිරීමට නිර්දේශ කර ඇත්තේ ඒවා හුදෙක් ගැලවී නැති නූල් නොවන නිසා, ප්‍රකාශයක් සම්පූර්ණ විමසුම් ක්‍රියාත්මක කිරීමේ සැලැස්මක් සමඟ එන අතර, එය භාවිතා කරන්නේ කුමන වගු සහ දර්ශකද යන්න ඇතුළුව එය ප්‍රශස්ත ක්‍රමයකි.
  • ඔබේ විමසුම තුළ ඔබේ විචල්‍යයන් වටා තනි උපුටා දැක්වීම් ('') භාවිතා කරන්න.

• විචල්යයේ ඔබ අපේක්ෂා කරන දේ අඩංගු දැයි පරීක්ෂා කරන්න:

  • ඔබ පූර්ණ සංඛ්‍යාවක් අපේක්ෂා කරන්නේ නම්, භාවිතා කරන්න:

    ctype_digit - සංඛ්‍යාත්මක අක්‍ෂර (ය) සඳහා පරීක්ෂා කරන්න; 
    $ අගය = (int) $ අගය; 
    $ value = intval ($ value); 
    $ var = filter_var ('0755', FILTER_VALIDATE_INT, $ විකල්ප);

  • නූල් භාවිතය සඳහා:

    is_string () - විචල්‍යයක වර්ගය නූල් දැයි සොයා ගන්න

    
    පෙරහන් ශ්‍රිතය භාවිතා කරන්න filter_var () - නිශ්චිත පෙරණයක් සමඟ විචල්‍යයක් පෙරහන් කරයි:
    

    $ email = filter_var ($ විද්‍යුත් තැපෑල, FILTER_SANITIZE_EMAIL); 
    $ newstr = filter_var ($ str, FILTER_SANITIZE_STRING);

    වඩා පෙර නිර්වචනය කළ පෙරහන්
    
  • filter_input () - නිශ්චිත බාහිර විචල්‍යයක් නමින් ලබාගෙන එය පෙරහන් කරයි:

    $ search_html = filter_input (INPUT_GET, 'search', FILTER_SANITIZE_SPECIAL_CHARS);

  • preg_match () - නිත්‍ය ප්‍රකාශන ගැලපීමක් සිදු කරන්න;
    
  • ඔබේම වලංගු කිරීමේ කාර්යය ලියන්න.

ඔබ මෙහි විස්තර කරන්නේ වෙනම කරුණු දෙකකි:

1. පරිශීලක ආදාන දත්ත සනීපාරක්ෂාව / පෙරීම.
2. ප්‍රතිදානය මග හැරීම.

1) පරිශීලක ආදානය සෑම විටම නරක යැයි උපකල්පනය කළ යුතුය.

සූදානම් කළ ප්‍රකාශ භාවිතා කිරීම, හෝ / සහ mysql_real_escape_string සමඟ පෙරීම අනිවාර්යයෙන්ම අත්‍යවශ්‍ය වේ. PHP හි පෙරහන්_ ආදාන ද ඇති අතර එය ආරම්භ කිරීමට හොඳ ස්ථානයකි.

2) මෙය විශාල මාතෘකාවක් වන අතර එය දත්ත ප්‍රතිදානයේ සන්දර්භය මත රඳා පවතී. HTML සඳහා htmlpurifier වැනි විසඳුම් තිබේ. රීතියක් ලෙස, ඔබ ප්‍රතිදානය කරන ඕනෑම දෙයකින් සැමවිටම ගැලවී යන්න.

මෙම කාරණා දෙකම තනි පෝස්ට් එකකට යාමට නොහැකි තරම් විශාල ය, නමුත් වඩාත් විස්තරාත්මකව පළ කරන පෝස්ට් ගොඩක් තිබේ:

ක්‍රම PHP ප්‍රතිදානය

ආරක්ෂිත PHP ප්‍රතිදානය

ඔබ PostgreSQL භාවිතා කරන්නේ නම්, PHP වෙතින් ආදානය pg_escape_string () සමඟ ගැලවිය හැකිය.

 $username = pg_escape_string($_POST['username']);

ප්‍රලේඛනයෙන් ( http://php.net/manual/es/function.pg-escape-string.php ):

pg_escape_string () දත්ත සමුදාය විමසීම සඳහා නූලකින් ගැලවී යයි. එය උපුටා දැක්වීම් නොමැතිව PostgreSQL ආකෘතියෙන් ගැලවී ගිය නූලක් ලබා දෙයි.

අවධානය යොමු කළ යුතු බහුවිධ කාරණා ඇති බැවින්, කැචල් ශ්‍රිතයක් නොමැත.

1. SQL එන්නත් කිරීම - අද, සාමාන්‍යයෙන්, සෑම PHP ව්‍යාපෘතියක්ම PHP දත්ත වස්තු (PDO) හරහා සකස් කළ ප්‍රකාශයන් හොඳම භාවිතයක් ලෙස භාවිතා කළ යුතු අතර, අයථා උපුටා දැක්වීමකින් දෝෂයක් වළක්වා ගැනීම මෙන්ම එන්නත් කිරීමට එරෙහිව සම්පූර්ණ අංග විසඳුමක් ද ලබා ගත යුතුය. එය ඔබගේ දත්ත ගබඩාවට ප්‍රවේශ වීමට වඩාත්ම නම්‍යශීලී සහ ආරක්ෂිත ක්‍රමයයි.

   පරීක්ෂා කරන්න (එකම නිසි) PDO නිබන්ධනය ඔබ PDO පිළිබඳව දැන ගැනීමට අවශ්ය දෙයක්ම සඳහා. (මෙම විෂය පිළිබඳ මෙම විශිෂ්ට සම්පත සඳහා ඉහළ SO දායකයා වන @YourCommonSense වෙත අවංක ස්තූතිය.)

2. XSS - යන මාර්ගයේ දත්ත සනීපාරක්ෂාව කරන්න ...

   • HTML Purifier දිගු කාලයක් තිස්සේ පවතින අතර එය තවමත් ක්‍රියාකාරීව යාවත්කාලීන වේ. අනිෂ්ට ආදානය සනීපාරක්ෂාව සඳහා ඔබට එය භාවිතා කළ හැකි අතර, ත්‍යාගශීලී සහ වින්‍යාසගත කළ හැකි ටැග් ලැයිස්තුවක් ලබා දේ. බොහෝ WYSIWYG සංස්කාරකවරුන් සමඟ විශිෂ්ට ලෙස ක්‍රියා කරයි, නමුත් සමහර භාවිත අවස්ථා සඳහා එය බර විය හැකිය.

   • වෙනත් අවස්ථා වලදී, අපට HTML / Javascript කිසිසේත් පිළිගැනීමට අවශ්‍ය නැති විට, මෙම සරල ශ්‍රිතය ප්‍රයෝජනවත් බව මට පෙනී ගියේය (සහ XSS ට එරෙහිව බහුවිධ විගණන සමත් වී ඇත):

     /* Prevent XSS input */ function sanitizeXSS () { $_GET = filter_input_array(INPUT_GET, FILTER_SANITIZE_STRING); $_POST = filter_input_array(INPUT_POST, FILTER_SANITIZE_STRING); $_REQUEST = (array)$_POST + (array)$_GET + (array)$_REQUEST; }

3. එක්ස්එස්එස් - පිටතට යන විට දත්ත සනීපාරක්ෂාව කරන්න ... ඔබේ දත්ත ගබඩාවට එය එක් කිරීමට පෙර දත්ත නිසි ලෙස සනීපාරක්ෂාව කර ඇති බවට ඔබ සහතික නොවන්නේ නම්, එය ඔබේ පරිශීලකයාට පෙන්වීමට පෙර එය සනීපාරක්ෂාව කළ යුතුය, අපට මෙම ප්‍රයෝජනවත් PHP කාර්යයන් උත්තේජනය කළ හැකිය:

   • ඔබ ඇමතූ විට echoහෝ printපරිශීලක විසින් සපයන ලද අගයන් ප්‍රදර්ශනය කරන htmlspecialcharsවිට, දත්ත නිසි ලෙස සනීපාරක්ෂාව කර HTML ප්‍රදර්ශනය කිරීමට ඉඩ නොදී භාවිතා කරන්න.
   • json_encode PHP සිට ජාවාස්ක්‍රිප්ට් දක්වා පරිශීලක සපයන අගයන් සැපයීමට ආරක්ෂිත ක්‍රමයකි

4. ඔබ බාහිර ෂෙල් විධාන භාවිතා කරන්නේ exec()හෝ system()ක්‍රියා backtickකරන්නේද , නැතහොත් ක්‍රියාකරුටද? එසේ නම්, SQL ඉන්ජෙක්ෂන් සහ එක්ස්එස්එස් වලට අමතරව, ඔබේ සේවාදායකයේ අනිෂ්ට විධාන ක්‍රියාත්මක කරන පරිශීලකයින්ට ආමන්ත්‍රණය කිරීමට අමතර සැලකිල්ලක් තිබිය හැකිය . ඔබ escapeshellcmdසම්පූර්ණ විධානයෙන් escapeshellargගැලවීමට හෝ තනි තර්ක වලින් ගැලවීමට කැමති නම් ඔබ භාවිතා කළ යුතුය .

ආදානය සනීපාරක්ෂාව සහ දත්ත වලින් ගැලවීම පිළිබඳ වැරදි මඟහරවා ගැනීමට පහසුම ක්‍රමය වන්නේ සිම්ෆනි , නෙට් වැනි PHP රාමුව භාවිතා කිරීමයි. වැනි හෝ එම රාමුවේ කොටසක් (සැකිලි එන්ජිම, දත්ත සමුදා ස්ථරය, ORM) භාවිතා කිරීමයි.

Twig වැනි එන්ජිම සැකසීම හෝ Latte පෙරනිමියෙන් ප්‍රතිදානය ගැලවී ඇත - සන්දර්භය අනුව ඔබේ ප්‍රතිදානයෙන් නිසි ලෙස ගැලවී ඇත්නම් (අතින් HTML හෝ ජාවාස්ක්‍රිප්ට් කොටස).

රාමුව ස්වයංක්‍රීයව ආදානය සනීපාරක්ෂාව වන අතර ඔබ $ _POST, G _GET හෝ S _SESSION විචල්‍යයන් කෙලින්ම භාවිතා නොකළ යුතුය, නමුත් රවුටින්, සැසි හැසිරවීම වැනි යාන්ත්‍රණයන් හරහා.

දත්ත සමුදා (ආකෘති) ස්තරය සඳහා ඩොක්ට්‍රින් වැනි ORM රාමු හෝ නෙට් දත්ත සමුදාය වැනි PDO වටා එතීම.

ඔබට ඒ ගැන වැඩි විස්තර මෙතැනින් කියවිය හැකිය - මෘදුකාංග රාමුවක් යනු කුමක්ද?

ප්‍රතිදාන ගැලවී යාමේ මාතෘකාව මත එය එක් කිරීමට අවශ්‍ය නම්, ඔබ ඔබේ HTML ප්‍රතිදානය සෑදීම සඳහා php DOMDocument භාවිතා කරන්නේ නම් එය ස්වයංක්‍රීයව නිවැරදි සන්දර්භය තුළ ගැලවී යනු ඇත. ගුණාංගයක් (අගය = "") සහ <span> හි අභ්‍යන්තර පෙළ සමාන නොවේ. XSS වලින් ආරක්ෂා වීමට මෙය කියවන්න: OWASP XSS වැළැක්වීමේ වංචා පත්‍රිකාව

ඔබ කිසි විටෙකත් ආදානය සනීපාරක්ෂාව නොකරයි.

ඔබ සැමවිටම ප්‍රතිදානය සනීපාරක්ෂාව කරයි.

SQL ප්‍රකාශයකට ඇතුළත් කිරීම සඳහා ඔබ දත්ත වලට අදාළ වන පරිවර්තනයන් HTML ඇතුළත් කිරීම සඳහා ඔබ අයදුම් කරන ඒවාට වඩා සම්පූර්ණයෙන්ම වෙනස් ය. ඔබ ජාවාස්ක්‍රිප්ට් ඇතුළත් කිරීම සඳහා අයදුම් කරන ඒවාට වඩා සම්පූර්ණයෙන්ම වෙනස් ය. CSS වලට ඇතුළත් කිරීම සඳහා ඔබ අයදුම් කරන ඒවාට වඩා සම්පූර්ණයෙන්ම වෙනස් වේ ඊමේල් එකකට ඇතුළත් කිරීමට ඔබ අයදුම් කරන ඒවාට වඩා සම්පූර්ණයෙන්ම වෙනස් වේ ....

සෑම ආකාරයකින්ම ආදානය වලංගු කරන්න - වැඩිදුර සැකසීම සඳහා ඔබ එය පිළිගත යුතුද යන්න තීරණය කරන්න හෝ එය පිළිගත නොහැකි බව පරිශීලකයාට කියන්න. නමුත් PHP ඉඩමෙන් ඉවත්ව යන තෙක් දත්ත නිරූපණය කිරීම සඳහා කිසිදු වෙනසක් නොකරන්න.

බොහෝ කලකට පෙර යමෙකු දත්ත වලින් ගැලවීම සඳහා සියලු යාන්ත්‍රණයන්ට ගැලපෙන පරිදි එක් ප්‍රමාණයක් නිර්මාණය කිරීමට උත්සාහ කළ අතර අපි අවසන් වූයේ “ මැජික්_කෝට්ස් ” වලින් වන අතර එමඟින් සියලු නිමැවුම් ඉලක්ක සඳහා දත්ත නිසි ලෙස ගැලවී නොගිය අතර විවිධ ස්ථාපනයන්හි ප්‍රති code ලයක් ලෙස විවිධ කේත ක්‍රියා කිරීමට අවශ්‍ය විය.

පෙරහන් දිගුව ( howto-link , manual ) ඇත, එය සියලු GPC විචල්‍යයන් සමඟ හොඳින් ක්‍රියා කරයි. එය මැජික්-කරන්න-කළ යුතු දෙයක් නොවේ, ඔබට තවමත් එය භාවිතා කිරීමට සිදුවනු ඇත.

පරිශීලක දත්ත කිසි විටෙකත් විශ්වාස නොකරන්න.

function clean_input($data) {
  $data = trim($data);
  $data = stripslashes($data);
  $data = htmlspecialchars($data);
  return $data;
}

මෙම trim()උත්සවය, පලවා හරින whitespace හා වැලක් දෙපැත්තෙන්ම වෙනත් පූර්ව නිශ්චිත අක්ෂර.

මෙම stripslashes()කාර්යය backslashes ඉවත්

මෙම htmlspecialchars()කාර්යය HTML ආයතන සඳහා සමහර පූර්ව නිශ්චිත චරිත බවට පරිවර්තනය කරයි.

පූර්ව නිශ්චිත අක්‍ෂර:

& (ampersand) becomes &
" (double quote) becomes "
' (single quote) becomes '
< (less than) becomes &lt;
> (greater than) becomes &gt;