PHP 过滤来自 PayPal IPN 的 POST？

Question

我设置了一个 PayPal IPN PHP 文件，它将所有 IPN 帖子内容变量分配给变量。该文件仅来自 paypal.com（即没有人应该知道它的 URL）。

我的问题是，我应该采取必要的步骤来过滤和清理来自 PayPal 的 POST 数据，还是屏蔽我的 IPN 文件名 (IPN_082j3f08jasdf.php) 就足够了？

另外，有人可以确认我的清理代码吗？这是非常基本的。我在通过 POST 或 GET 发送的所有内容上运行它，我的目标是防止任何类型的 MySQL 注入或黑客所做的任何事情。

function filter($data){
 // changes & to &
 // changes " to "
 // removes \ < >

 $data = trim(htmlentities(strip_tags($data)));

 if(get_magic_quotes_gpc()){
  $data = stripslashes($data);
 }
 $data = mysql_real_escape_string($data);

 return $data;
}

Answer 1

抱歉给了我不好的建议！请忽略这篇文章！ - 保持它不被删除，因为它在下面产生了一些有趣的讨论

如果没有人应该知道它的 URL，那么 SQL 清理可能不是一个大问题。除非有人劫持了您的目录列表，否则屏蔽您的 IPN 文件就足够了。

htmlentities() 需要有一个 ENT_QUOTES 标志来转换引号。

如果 get_magic_quotes_gpc() 开启，则 strip_slashes 会自动完成......在您的情况下，看起来您将双条斜杠。

mysql_real_escape_string 也将完成 strip_slashes() 的工作...

Answer 2

混淆文件名永远还不够——是的，您需要过滤 POST 数据。假设不是 PayPal 调用该脚本，直到您能证明这一点。

卫生看起来不错——如果你的代码变得很长，我倾向于分两步对其进行清理——开头的 strip_tags 和基本卫生，以及在你联系数据库的同时 mysql 转义——这使得维护IMO更容易。

Answer 3

您还可以考虑使用 Kohana PHP 框架也使用的更强大的过滤机制，可以在此处找到：

http://svn.bitflux.ch/repos/public/popoon/trunk/类/externalinput.php