Раніше сьогодні було задано питання щодо стратегій перевірки вводу даних у веб-додатках .
Найвища відповідь, під час написання, пропонує PHPпросто використовувати htmlspecialcharsта mysql_real_escape_string.
Моє запитання: чи цього завжди достатньо? Чи є більше, що ми повинні знати? Де розбиваються ці функції?
Відповіді:
Що стосується запитів до бази даних, завжди намагайтеся використовувати підготовлені параметризовані запити. mysqliІ PDOбібліотеки підтримують це. Це нескінченно безпечніше, ніж використання функцій втечі, таких як mysql_real_escape_string.
Так, mysql_real_escape_stringце фактично лише функція втечі рядка. Це не чарівна куля. Все, що він буде робити - це уникнути небезпечних символів для того, щоб їх можна було безпечно використовувати в одній рядку запиту. Однак, якщо ви не заздалегідь очистите свої дані, ви будете вразливі до певних векторів нападу.
Уявіть собі наступний SQL:
$result = "SELECT fields FROM table WHERE id = ".mysql_real_escape_string($_POST['id']);Ви повинні мати можливість бачити, що це вразливо для експлуатації.
Уявіть, що idпараметр містив загальний вектор атаки:
1 OR 1=1Там немає ризикованих знаків для кодування, тому він пройде прямо через фільтр, що протікає. Залишаючи нас:
SELECT fields FROM table WHERE id= 1 OR 1=1Це прекрасний вектор ін'єкції SQL і дозволив би зловмиснику повернути всі рядки. Або
1 or is_admin=1 order by id limit 1який виробляє
SELECT fields FROM table WHERE id=1 or is_admin=1 order by id limit 1Що дозволяє зловмиснику повернути перші дані адміністратора в цьому абсолютно вигаданому прикладі.
Хоча ці функції корисні, їх потрібно використовувати обережно. Вам потрібно переконатися, що всі вхідні дані в певній мірі перевірені. У цьому випадку ми бачимо, що нас можна експлуатувати, оскільки ми не перевіряли, чи змінна, яку ми використовували як число, насправді була числовою. У PHP вам слід широко використовувати набір функцій, щоб перевірити, чи є входи цілими числами, плаваючими, буквено-цифровими і т. Д. Але коли мова заходить про SQL, то найбільше слідкуйте за значенням підготовленого оператора. Вищевказаний код був би безпечним, якби це був підготовлений вислів, оскільки функції бази даних знали б, що 1 OR 1=1це не є дійсним літералом.
Що стосується htmlspecialchars(). Це власне мінне поле.
У PHP існує справжня проблема в тому, що він має цілий вибір різноманітних функцій, пов'язаних з html, і не має чітких рекомендацій щодо того, які саме функції виконувати.
По-перше, якщо ви знаходитесь всередині тегу HTML, у вас виникають реальні проблеми. Подивись на
echo '<img src= "' . htmlspecialchars($_GET['imagesrc']) . '" />';Ми вже всередині тегу HTML, тому нам не потрібно робити <або> робити щось небезпечне. Наш вектор нападу просто міг бутиjavascript:alert(document.cookie)
Тепер результат HTML виглядає так
<img src= "javascript:alert(document.cookie)" />Атака проходить прямо.
Це стає гірше. Чому? тому що htmlspecialchars(коли його називають таким чином) кодує лише подвійні лапки, а не одиничні. Так якби ми мали
echo "<img src= '" . htmlspecialchars($_GET['imagesrc']) . ". />";Тепер наш злий нападник може вводити цілком нові параметри
pic.png' onclick='location.href=xxx' onmouseover='...дає нам
<img src='pic.png' onclick='location.href=xxx' onmouseover='...' />У цих випадках чарівної кулі немає, потрібно просто санітувати вхід самостійно. Якщо ви спробуєте і відфільтруєте поганих персонажів, вам точно не вдасться. Скористайтеся білим підходом і пропустіть лише хороші символи. Подивіться на шпаргалку XSS для прикладів того, як можуть бути різноманітні вектори
Навіть якщо ви використовуєте htmlspecialchars($string)теги HTML поза межами HTML, ви все ще вразливі до багатобайтових векторів атаки на комір.
Найефективнішим, яким ви можете бути, є використання комбінації mb_convert_encoding та htmlentity наступним чином.
$str = mb_convert_encoding($str, 'UTF-8', 'UTF-8');
$str = htmlentities($str, ENT_QUOTES, 'UTF-8');
Навіть це залишає IE6 вразливим, через те, як він обробляє UTF. Однак ви можете перейти до більш обмеженого кодування, такого як ISO-8859-1, поки використання IE6 не припиниться.
Для більш поглибленого вивчення багатобайтових проблем див. Https://stackoverflow.com/a/12118602/1820
$result = "SELECT fields FROM table WHERE id = '".mysql_real_escape_string($_POST['id'])."'";2. У другому випадку (атрибут, що містить URL), взагалі немає жодної користі htmlspecialchars; у цих випадках слід кодувати вхід, використовуючи схему кодування URL, наприклад, використовуючи rawurlencode. Таким чином, користувач не може вставити javascript:та ін.
Take a whitelist approach and only let through the chars which are good.чорному списку завжди щось буде пропущено. +1
Окрім чудової відповіді Cheekysoft:
Насправді не існує срібної кулі для запобігання введенню HTML (наприклад, сценарій між веб-сайтами), але ви можете досягти цього легше, якщо для виведення HTML використовуєте бібліотеку або систему шаблонів. Прочитайте документацію щодо того, як правильно уникнути речей.
У HTML, речі потрібно уникати по-різному, залежно від контексту. Особливо це стосується рядків, розміщених у Javascript.
Я б точно погодився з вищезазначеними повідомленнями, але у мене є одна невелика річ, яку слід додати у відповідь на відповідь Cheekysoft, зокрема:
Що стосується запитів до бази даних, завжди намагайтеся використовувати підготовлені параметризовані запити. Бібліотеки mysqli та PDO підтримують це. Це нескінченно безпечніше, ніж використання функцій евакуації, таких як mysql_real_escape_string.
Так, mysql_real_escape_string - це фактично лише функція уникнення рядка. Це не чарівна куля. Все, що він буде робити - це уникнути небезпечних символів для того, щоб їх можна було безпечно використовувати в одній рядку запиту. Однак, якщо ви не заздалегідь очистите свої дані, ви будете вразливі до певних векторів нападу.
Уявіть собі наступний SQL:
$ result = "ВИБІР поля з таблиці WHERE id =" .mysql_real_escape_string ($ _ POST ['id']);
Ви повинні мати можливість бачити, що це вразливо для експлуатації. Уявіть, що параметр id містив загальний вектор атаки:
1 АБО 1 = 1
Там немає ризикованих знаків для кодування, тому він пройде прямо через фільтр, що протікає. Залишаючи нас:
ВИБІРТЬ поля з таблиці, де id = 1 або 1 = 1
Я зашифрував швидку маленьку функцію, яку я помістив у свій клас бази даних, який буде викреслювати все, що не має числа. Він використовує preg_replace, тому існує проблема трохи оптимізованішої функції, але вона працює в дрібному ...
function Numbers($input) {
$input = preg_replace("/[^0-9]/","", $input);
if($input == '') $input = 0;
return $input;
}Тож замість використання
$ result = "ВИБРАТИ поля з таблиці WHERE id =" .mysqlrealescapestring ("1 АБО 1 = 1");
Я б користувався
$ result = "ВИБІРТЬ поля з таблиці, де id =". чисел ("1 АБО 1 = 1");
і він би спокійно запустив запит
ВИБІРТЬ поля з таблиці, де id = 111
Впевнені, що це просто не дозволило йому відобразити правильний рядок, але я не думаю, що це велика проблема для того, хто намагається ввести sql на ваш сайт;)
return preg_match('/^[0-9]+$/',$input) ? $input : 0;
Важливим фрагментом цієї головоломки є контексти. Хтось надсилає "1 АБО 1 = 1" як ідентифікатор - це не проблема, якщо ви цитуєте кожен аргумент у своєму запиті:
SELECT fields FROM table WHERE id='".mysql_real_escape_string($_GET['id'])."'"Результати:
SELECT fields FROM table WHERE id='1 OR 1=1'що малоефективно. Оскільки ви уникаєте рядок, вхід не може вирватися з контексту рядка. Я перевірив це на версію 5.0.45 MySQL, і використання рядкового контексту для цілого стовпця не викликає проблем.
$result = "SELECT fields FROM table WHERE id = ".(INT) $_GET['id'];Працює добре, навіть краще в 64-бітних системах. Остерігайтеся своїх системних обмежень на адресу великої кількості, але для ідентифікаторів баз даних це працює чудово у 99% часу.
Ви також повинні використовувати одну функцію / метод для очищення своїх значень. Навіть якщо ця функція є лише обгорткою для mysql_real_escape_string (). Чому? Оскільки одного дня, коли знайдеться експлуатуючий спосіб, який ви бажаєте очистити, вам доведеться оновити його лише в одному місці, а не знайти та замінити загальносистемну систему.
чому, о ЧОМУ, ви б не включали цитати навколо вводу користувачів у свою операцію sql? здається, зовсім нерозумно не робити! включення лапок у вашому операторі sql призведе до "1 або 1 = 1" безрезультатної спроби, ні?
тому зараз, ви скажете, "що робити, якщо користувач включить у вхід цитату (або подвійні лапки)?"
ну, просте виправлення для цього: просто видаліть користувальницькі дані. наприклад: input =~ s/'//g;. тепер мені все одно здається, що введення користувача буде захищене ...