security - 在 Web 开发期间，我将花费多少时间在用户输入验证上？

Question

我是在网络上开发东西的新手。到目前为止，我花了很多时间(50% 左右)来尝试防止坏人将诸如 sql 注入(inject)之类的东西放入我的输入表单并在服务器端验证它。这是正常的吗？

Answer 1

@Jeremy - 一些 PHP 细节

当涉及到数据库查询时，请始终尝试使用准备好的参数化查询。 mysqli和 PDO图书馆支持这一点。这比使用 mysql_real_escape_string 等转义函数要安全得多。

是的，mysql_real_escape_string 实际上只是一个字符串转义函数。它不是 Elixir 。它将做的只是转义危险字符，以便它们可以安全地用于单个查询字符串。但是，如果您不事先清理输入，那么您将容易受到某些攻击向量的攻击。

想象一下下面的 SQL:

$result = "SELECT fields FROM table WHERE id = ".mysql_real_escape_string($_POST['id']);

您应该能够看到这很容易被利用。
想象一下 id参数包含常见的攻击向量:

1 OR 1=1

它们中没有要编码的危险字符，因此它将直接通过转义过滤器。离开我们:

SELECT fields FROM table WHERE id = 1 OR 1=1

这是一个可爱的 SQL 注入(inject)向量。

虽然这些功能很有用，但必须小心使用。您需要确保所有 Web 输入都经过一定程度的验证。在这种情况下，我们看到我们可以被利用，因为我们没有检查我们用作数字的变量是否实际上是数字。在 PHP 中，您应该广泛使用一组函数来检查输入是否为整数、浮点数、字母数字等。但是当涉及到 SQL 时，请注意大多数准备好的语句的值。如果上面的代码是一个准备好的语句，那么它是安全的，因为数据库函数会知道 1 OR 1=1不是有效的文字。

至于 htmlspecialchars()。这本身就是一个雷区。

PHP 中存在一个真正的问题，因为它有一系列不同的与 html 相关的转义函数，并且没有明确指导哪些函数执行什么操作。

首先，如果您在 HTML 标记中，那么您就遇到了真正的麻烦。看着

echo '<img src= "' . htmlspecialchars($_GET['imagesrc']) . '" />';

我们已经在一个 HTML 标记中，所以我们不需要 < 或 > 来做任何危险的事情。我们的攻击向量可能只是 javascript:alert(document.cookie)
现在生成的 HTML 看起来像

<img src= "javascript:alert(document.cookie)" />

攻击直接通过。

它变得更糟。为什么？因为 htmlspecialchars 只编码双引号而不是单引号。所以如果我们有

echo "<img src= '" . htmlspecialchars($_GET['imagesrc']) . ". />";

我们的邪恶攻击者现在可以注入(inject)全新的参数

pic.png' onclick='location.href=xxx' onmouseover='...

给我们

<img src='pic.png' onclick='location.href=xxx' onmouseover='...' />

在这些情况下，没有 Elixir ，您只需要自己清理输入即可。如果您尝试过滤掉不良字符，您肯定会失败。采取白名单方法，只让好的字符通过。看XSS cheat sheet举例说明向量的多样性

即使您在 HTML 标记之外使用 htmlspecialchars($string)，您仍然容易受到多字节字符集攻击向量的攻击。

最有效的方法是使用 mb_convert_encoding 和 htmlentities 的组合，如下所示。

$str = mb_convert_encoding($str, ‘UTF-8′, ‘UTF-8′);
$str = htmlentities($str, ENT_QUOTES, ‘UTF-8′);

即使这样，IE6 也容易受到攻击，因为它处理 UTF 的方式。但是，您可以回退到更有限的编码，例如 ISO-8859-1，直到 IE6 的使用率下降。