在 POST 请求中对最少字符进行编码：安全吗？

Question

我遇到了一种只对 POST 参数值中的以下 4 个字符进行编码的方法： # ; & +。如果有的话，它会导致什么问题？

我个人不喜欢这样的黑客行为。我之所以问这个问题，是因为我和它的发明者发生了争执。

更新。澄清一下，这个问题是关于 POST 正文中的编码参数，而不是关于在服务器端转义 POST 参数，例如在将它们输入 shell、数据库、HTML 之前页面或其他任何内容。

Answer 1

考虑一下：$sql ='DELETE * fromarticlesWHEREid='.$_POST['id'].';

然后您输入以下形式：1' OR '10

然后就变成这样：$sql ='DELETE * fromarticlesWHEREid='1' OR '10';

Answer 2

来自 rfc1738 （如果您使用的是 application/x-www-form -urlencoded 编码传输数据）：

不安全：

出于多种原因，角色可能不安全。空格字符是不安全的，因为当 URL 被转录、排版或接受文字处理程序处理时，重要的空格可能会消失，而无关紧要的空格可能会被引入。字符“<”和“>”不安全，因为它们被用作自由文本中 URL 的分隔符；在某些系统中，引号 (""") 用于分隔 URL。字符“#”是不安全的，应始终进行编码，因为它在万维网和其他系统中用于分隔 URL 与片段/锚点其后的标识符是不安全的，因为它用于其他字符的编码，因为网关和其他传输代理有时会修改这些字符。 "、"|"、"\"、"^"、"~"、"["、"]" 和 "`"。

所有不安全字符必须始终在 URL 中进行编码。例如，即使在通常不处理片段或锚标识符的系统中，字符“#”也必须在 URL 中进行编码，因此，如果将 URL 复制到使用它们的另一个系统中，则无需更改URL 编码。

Answer 3

通常（总是？）进行转义元字符是为了防止注入攻击。不同的系统有不同的元字符，因此每个系统都需要自己的防止注入的方法。不同的系统有不同的转义字符的方式。有些系统不需要转义字符，因为它们具有不同的控制和数据通道（例如准备好的语句）。此外，通常最好在将数据引入系统时执行过滤。

最大的问题是仅转义这四个字符并不能提供完整的保护。过滤你提到的四个字符后，SQL、HTML 和 shell 注入攻击仍然是可能的。