使用 PHP 进行代码注入

Question

我知道如何防止 SQL 注入和攻击东西&正在验证用户输入...但想知道您是否正在从用户输入字段中获取数据&数据是一个字符串，此数据在代码中使用的安全性如何：

if ($i == $_POST['userinput']) {
    ....
}

以上只是一个示例，试图解决我的问题，询问您需要采取哪些步骤&在什么情况下。

显然它在上面的例子中不起作用，但只是试图阻止人们做类似 include('whatever.php'); 的事情。 ETC。

Answer 1

正如您所展示的，与变量进行比较本身并不危险，因此无需担心。

在 include 语句、数据库查询、文件名、eval() 调用、HTML 页面等中使用时，用户输入会变得潜在危险每一种用途都有一种正确的卫生方法。

Answer 2

与用户提供的变量相比很好，它们只是作为字符串处理。关于您的 include('whatever.php') 示例，请使用白名单来防止它：

if(!in_array($userinput, array('libs.php', 'my.php'))) {
  die('sorry pal');
}

Answer 3

除非您从 create_function 等字符串调用 eval 或类似的函数来创建并运行实际的 PHP 代码，否则您通常不需要担心关于实际的代码注入。

正如您已经指出的，在直接根据用户输入执行包含或调用函数时，您确实需要小心。事实上您知道这一点意味着您可能已经在这方面做好了充分的准备。

Answer 4

来自用户的数据潜在是危险的，但这并不意味着它始终是危险的——这取决于您如何处理它。

虽然过滤/白名单/清理数据始终是良好的做法，但您必须做的绝对最低限度是避免直接使用它来执行与环境主动交互的操作：处理文件系统（包括、fopen、file_(get|put)_contents、等）、数据库、生成 HTML 输出等。

当然，不同的情况需要不同的措施：例如，在构建数据库查询时使用（正如我经常看到的）htmlspecialchars() 是没有意义的——该函数的目的是避免代码注入浏览器输出，因此应该使用它。

简而言之，没有神奇的一句话答案，您必须知道什么是危险的以及何时危险，并采取相应的行动。

Answer 5

本身作为字符串就可以了。还是加斜杠比较安全，保证'和"这样的符号不冲突。主要是对SQL数据库有危险。