我有控制器从HTML表单中获取post参数,然后将它们发送到将数组插入Cassandra数据库的模型。
它是SQLInjection证明,因为它是NoSQL,但我担心的是用户可以只模拟100k的post参数或只添加一些我不需要的东西,它将被插入到数据库中。如何确保只有我需要的值才会保留在我的数组中。
示例:
$post = ['parent_id', 'type', 'title', 'body', 'tags']; // Good
$post = ['parent_id', 'type', 'title', 'body', 'tags', 'one', 'two', 'three'] // Bad
如何确保我的数组会取消设置 good 示例中的所有元素?
答案 0 :(得分:77)
将执行期望的条目列入白名单。
<?php
$post = array(
'parent_id' => 1,
'type' => 'foo',
'title' => 'bar',
'body' => 'foo bar',
'tags' => 'foo, bar',
'one' => 'foo',
'two' => 'bar',
'three' => 'qux'
);
$whitelist = array(
'parent_id',
'type',
'title',
'body',
'tags'
);
$filtered = array_intersect_key( $post, array_flip( $whitelist ) );
var_dump( $filtered );
无论如何,使用Cassandra作为数据存储当然不是不对您收到的数据进行验证的理由。
答案 1 :(得分:48)
您正在寻找array_intersect:
$good = ['parent_id', 'type', 'title', 'body', 'tags'];
$post = ['parent_id', 'type', 'title', 'body', 'tags', 'one', 'two', 'three'];
print_r(array_intersect($good, $post));
<强> See it in action
当然这个具体的例子没有多大意义,因为它适用于数组值,但也有array_intersect_key根据键做同样的事情。
答案 2 :(得分:2)
多维数组怎么样?我为这个解决方案研究了几个小时,没有找到最佳解决方案。所以,我自己写了
function allow_keys($arr, $keys)
{
$saved = [];
foreach ($keys as $key => $value) {
if (is_int($key) || is_int($value)) {
$keysKey = $value;
} else {
$keysKey = $key;
}
if (isset($arr[$keysKey])) {
$saved[$keysKey] = $arr[$keysKey];
if (is_array($value)) {
$saved[$keysKey] = allow_keys($saved[$keysKey], $keys[$keysKey]);
}
}
}
return $saved;
}
使用:示例
$array = [
'key1' => 'kw',
'loaa'=> ['looo'],
'k' => [
'prope' => [
'prop' => ['proo', 'prot', 'loolooo', 'de'],
'prop2' => ['hun' => 'lu'],
],
'prop1' => [
],
],
];
致电:示例
allow_keys($array, ['key1', 'k' => ['prope' => ['prop' => [0, 1], 'prop2']]])
输出:
Array ( [key1] => kw [k] => Array ( [prope] => Array ( [prop] => Array ( [0] => proo [1] => prot ) [prop2] => Array ( [hun] => lu ) ) ) )
因此您只需从多维数组中获取所需的键。它不仅限于“多维”,你可以通过传递像
这样的数组来使用它['key1', 'loaa']
输出你得到:
Array ( [key1] => kw [loaa] => Array ( [0] => looo ) )
喝彩!
答案 3 :(得分:1)
这将输出与$ post_allowed相同的内容。它的作用是只允许$ post_input中的值也出现在$ post_allow中。
$post_allowed = ['parent_id', 'type', 'title', 'body', 'tags'];
$post_input = ['parent_id', 'type', 'title', 'body', 'tags', 'one', 'two', 'three'];
$post = array_intersect($post_input, $post_allowed);
答案 4 :(得分:1)
这称为白名单,您的示例具有误导性,因为$_POST是一个关联数组。
$post = [
'parent_id' => 'val',
'type' => 'val',
'title' => 'val',
'body' => 'val',
'tags' => 'val',
'one' => 'val',
'two' => 'val',
'three'=>'val',
];
$whitelist = ['parent_id', 'type', 'title', 'body', 'tags'];
$sanitized_post = array_whitelist_assoc($post, $whitelist);
这是我为关联数组创建的白名单功能。
if(!function_exists('array_whitelist_assoc')){
/**
* Returns an associative array containing all the entries of array1 which have keys that are present in all the arguments when using their values as keys.
*
* @param array $array The array with master keys to check.
* @param array $array2 An array to compare keys against its values.
* @return array $array2,... A variable list of arrays to compare.
*
*/
function array_whitelist_assoc(Array $array1, Array $array2) {
if(func_num_args() > 2){
$args = func_get_args();
array_shift($args);
$array2 = call_user_func_array('array_merge', $args);
}
return array_intersect_key($array1, array_flip($array2));
}
}
答案 5 :(得分:1)
如果您正在处理关联数组并且您不想出于任何原因使用array_intersect_key(),您还可以使用您想要的值来更简单地手动构建新数组之一。
$post = array(
'parent_id' => 1,
'type' => "post",
'title' => "Post title",
'body' => "Post body",
'tags' => "Post tags",
'malicious' => "Robert'); DROP TABLE students;--"
);
$good = array(
'parent_id' => $post['parent_id'],
'type' => $post['type'],
'title' => $post['title'],
'body' => $post['body'],
'tags' => $post['tags']
);
答案 6 :(得分:0)
使用数组交集。 array intersect,它会对你有帮助。
答案 7 :(得分:0)
值得记住的是,虽然array_intersect和array_intersect_key很好,但他们可能会有点过分。在我的情况下,我只想要剩下1个元素,因此最简单的选择就是根据我需要的键/值重建我想要的数组。我想知道在什么时候,array_intersect不值得,你只需要更好地使用$new = array('whatI'=>'want');。我相信OP这是值得的,但在较小的情况下,它可能是过度的。
或者,在回答原始问题时,仅使用unset可能是一个更便宜的选项 - unset($post['one'],$post['two'],$post['three'])。但是,它再次涉及效率太低而且array_intersect函数更好的点。