目前我使用此策略:
提交使用jQuery $.get()或$.post()发送的HTML表单或数据后,我需要知道发生了什么,然后在此基础上应用逻辑。
假设我有$_POST['username'], $_POST['password']和$_POST['login_submit_button']。
在我的处理脚本文件中,我喜欢这样:
if(isset($_POST['login_submit_button']) && isset($_POST['username']) && $_POST['username'] != "" && isset($_POST['password']) && $_POST['password'] != "") {
// calling a common function safe_vars() which does
// mysql_real_escape_string(stripslashes(trim($any_variable_need_to_become_safe)))
// and now using the above variables for different purposes like
// calculation, insertion/updating old values in database etc.
}
我知道所有这些逻辑错误或存在严重问题,所以我想要一个非常安全和完美的解决方案而不是这个。我欢迎在我的策略中找出漏洞和严重的安全漏洞。这个问题也可以帮助其他人,如果答案更具解释性,这可以是提供信息的社区维基。
答案 0 :(得分:3)
无法制作通用的超级“安全生产”功能。
mysql_real_escape_string
你根本不应该使用它。它使用旧的mysql API,并假设您将手动粉碎字符串以生成SQL。不要那样做。使用PDO或mysqli以及处理准备好的查询和绑定参数的函数。
stripslashes
这是对魔术引语的解毒剂。如果没有魔术引号,它将破坏数据。不要使用它。转而关闭魔术引号。
trim
这会破坏数据。除非你真的想要删除字符串开头和结尾的空格,否则不要使用它。
在将数据插入该语言之前,立即转发目标语言的数据。
对于SQL,use bound arguments and prepared queries。
对于HTML,请使用htmlspecialchars或为您进行转义的模板语言,例如小胡子。
或者,(如果你想允许HTML)解析它,生成一个DOM,使用白名单对其进行过滤,然后将其序列化为HTML。
对于JSON,请使用encode_json
等
答案 1 :(得分:1)
没有什么是防弹的,但以上是避免SQL注入/ XSS的良好做法。