保护用户数据 - 用于方法调用、SQL 和文件调用

Question

我在方法调用、SQL 查询和文件调用中使用 $_GET、$_POST 和 $_COOKIE 变量 - 并且有必要转义 /重写此用户数据以获得更好的安全性（避免注入攻击等）。您建议如何完成此操作？

来自内置转义函数的一些想法......让果汁流动：

• 添加反斜杠到：\x00、\n、\r、\、'、" 和 \x1a 使字符串对于 SQL 查询是安全的 - 如 mysql_real_escape_string() 中所示，
• 将接受的字符数限制为 [a-zA-Z0-9 _-\.] （其中“”）。 \.”是转义的“.”-点）。

感谢您的输入。谢谢。

Answer 1

由于转义也取决于您发送数据的系统，我的建议是使用 PHP 提供的、专门为每个系统创建的函数。

例如：

• 对于 MySQL 查询，请使用 mysql_real_escape_string 或 mysqli_real_escape_string，或 PDO::quote
  • 或者使用准备好的语句 (mysqli, PDO)
  • 不要自己添加反斜杠：当正确且运行良好（并且经过充分测试！）的转义函数已经存在时为什么要这样做？
• 对于 HTML 输出，请使用 htmlspecialchars 或 htmlentities。

不管怎样：不要重新发明轮子！

对于多种输出已经存在转义函数/方法：使用它们！

Answer 2

另请注意，您必须转义的东西（如果用户输入）是图像位置等

如果有人用此热链接到图像（例如头像）

http://yoursite.com/admin/user/delete/1

然后您视图中的代码是

<img class="avatar" alt="<?php echo $userName; ?>" src="<?php $avatarUrl; ?>" />

如果您以管理员身份登录，那么您可能会意外删除用户。当然，希望这种删除是通过帖子完成的，但它仍然可以被规避。

在这种情况下，htmlspecialchars() 将无济于事。

您可以通过强制所有数据更改方法都与帖子一起使用来使攻击者变得更加困难，并且可以通过为每个删除操作生成令牌并在删除之前验证它来使攻击几乎不可能。

Answer 3

我这样使用：

function escape($sql) {
    // Stripslashes
    if (get_magic_quotes_gpc()) {
        $sql = stripslashes($sql);
    }
    //if this is the intedger
    if (!is_int($sql) || $sql == '0') {
        $sql = "'" . mysql_real_escape_string($sql) . "'";
    }
    return $sql;
}

在 MySQL 查询中

mysql_query("SELECT SQL_CACHE * FROM `page` WHERE `id` = ".escape($_GET['id'])." LIMIT 1");