处理$ _POST []和$ _GET []变量

时间:2012-05-22 12:15:51

标签: php mysql security

目前我使用此策略:

提交使用jQuery $.get()$.post()发送的HTML表单或数据后,我需要知道发生了什么,然后在此基础上应用逻辑。

假设我有$_POST['username'], $_POST['password']$_POST['login_submit_button']。 在我的处理脚本文件中,我喜欢这样:

if(isset($_POST['login_submit_button']) && isset($_POST['username']) && $_POST['username'] != "" && isset($_POST['password']) && $_POST['password'] != "") {
  // calling a common function safe_vars() which does
  // mysql_real_escape_string(stripslashes(trim($any_variable_need_to_become_safe)))
  // and now using the above variables for different purposes like
  // calculation, insertion/updating old values in database etc.
}

我知道所有这些逻辑错误或存在严重问题,所以我想要一个非常安全和完美的解决方案而不是这个。我欢迎在我的策略中找出漏洞和严重的安全漏洞。这个问题也可以帮助其他人,如果答案更具解释性,这可以是提供信息的社区维基。

2 个答案:

答案 0 :(得分:3)

无法制作通用的超级“安全生产”功能。

  

mysql_real_escape_string

你根本不应该使用它。它使用旧的mysql API,并假设您将手动粉碎字符串以生成SQL。不要那样做。使用PDO或mysqli以及处理准备好的查询和绑定参数的函数。

  

stripslashes

这是对魔术引语的解毒剂。如果没有魔术引号,它将破坏数据。不要使用它。转而关闭魔术引号。

  

trim

这会破坏数据。除非你真的想要删除字符串开头和结尾的空格,否则不要使用它。


在将数据插入该语言之前,立即转发目标语言的数据

对于SQL,use bound arguments and prepared queries

对于HTML,请使用htmlspecialchars或为您进行转义的模板语言,例如小胡子。

或者,(如果你想允许HTML)解析它,生成一个DOM,使用白名单对其进行过滤,然后将其序列化为HTML。

对于JSON,请使用encode_json

答案 1 :(得分:1)

  • 如果启用了magic_quotes,则只需要striplashes(使用get_magic_quotes_gpc进行检查)
  • 您应该使用filter_varctype_*preg_match过滤您的POST变量白名单(以及检查长度和存在等绑定条件)
  • 使用预先准备好的陈述/ PDO进行查询以确保正确转义
  • 使用htmlentities
  • 转义任何html输出

没有什么是防弹的,但以上是避免SQL注入/ XSS的良好做法。