PHP 資訊安全 - 資料消毒

-


荀子-性惡篇第二十三: 人之性惡,其善者僞也。

永遠不要相信任何來源不明的資料

不可信資料來源

只要不是系統產出組合之資料,皆不可信。

如下:

 $_GET
 $_POST
 $_REQUEST
 $_COOKIE
 $argv
 php://stdin
 file_get_contents()
 遠端資料庫
 遠端 API
 來自客戶端的資料

只要是外部來源資料都有可能是攻擊的源頭(XSSCSRF等…)

怎麼說呢?

您的網站允許使用HTML下評論,那將有可能受到<script>隱碼攻擊。

<p>This is good!!!</p>

<script>
window.location.href='https://hank7891.github.io/';
</script>

您的登入帳號密碼被如此輸入,即會遭受 SQL Injection

account: ' OR 1=1 #
password: 1234

$account  = $_GET['account']; // '' OR 1=1 #
$password = $_GET['password'];

$query = "SELECT * FROM user WHERE account = '$account' AND password = '$password'";

產生指令: SELECT * FROM user WHERE account = '' OR 1=1 #AND password = '1234';

如此一來是不是令您毛骨悚然呢?

所以呢?

想要開發安全的 Web 應用程式,最重要的是正確掌握資料的用途狀態。

  • 一般正規化消毒→一般處理用資料
    • 例如:trim、magicquotesgpc、NUL、強制轉型、大小寫轉換、值域範圍檢查、白名單檢查、RegExp規則檢查
  • HTML輸出用消毒→HTML輸出用資料
    • 例如:htmlspecialchars, strip_tags, htmlentities

  • SQL輸出用消毒→SQL輸出用資料

    • 例如:mysqlrealescape_string, addslashes

最重要的是,這些用途的資料,應明確加以區別,不要混淆使用,一定要明確配合用途進行轉換。

所有資料的交換,都應使用一般處理用資料來進行,再依資料用途進行消毒,避免混用而造成遺忘或重複消毒。


留言

張貼留言

這個網誌中的熱門文章

wkhtmltopdf PDF 樣式設定

-
—disable-smart-shrinking 這個參數一定要加上,加上頁面就不縮小了; —dpi 這個參數不要用默認值,要設置大一點;letter-spacinng : 0 不然字間距太密; wkhtmltopdf常規參數記錄下 linux:wkhtmltopdf [OPTIONS]… [More input files] windows:wkhtmltopdf.exe [OPTIONS]… [More input files] 常規選項 –allow 允許加載從指定的文件夾中的文件或文件(可重複) –book* 設置一會打印一本書的時候,通常設置的選項 –collate 打印多份副本時整理 –cookie 設置一個額外的cookie(可重複) –cookie-jar 讀取和寫入的Cookie,並在提供的cookie jar文件 –copies 複印打印成pdf文件數(默認爲1) –cover* 使用HTML文件作爲封面。它會帶頁眉和頁腳的TOC之前插入 –custom-header 設置一個附加的HTTP頭(可重複) –debug-javascript 顯示的javascript調試輸出 –default-header* 添加一個缺省的頭部,與頁面的左邊的名稱,頁面數到右邊,例如: –header-left ‘[webpage]’ –header-right ‘[page]/[toPage]’ –header-line –disable-external-links* 禁止生成鏈接到遠程網頁 –disable-internal-links* 禁止使用本地鏈接 –disable-javascript 禁止讓網頁執行JavaScript –disable-pdf-compression* 禁止在PDF對象使用無損壓縮 –disable-smart-shrinking* 禁止使用WebKit的智能戰略收縮,使像素/ DPI比沒有不變 –disallow-local-file-access 禁止允許轉換的本地文件讀取其他本地文件,除非explecitily允許用 –allow –dpi 顯式更改DPI(這對基於X11的系統沒有任何影響) –enable-plugins 啓用已安裝的插件(如Flash –e...
閱讀完整內容

PHP OO 基礎教學

-
PHP OO 基礎教學 此篇教學只是物件導向的基礎與實作,內容只包含類別與物件的操作,讓不熟悉類別的人可以初識物件導向的好處,並且了解物件與類別的特性與關係。 認識物件導向 Object Oriented: 物件導向是一種寫程式的方式,他傾向讓開發者將類似或有關聯性的工作或屬性組織到 類別(class) 裡面。進而讓程式遵循 不重複原則 don’t repeat yourself (DRY) ,且更容易維護。 “Object-oriented programming is a style of coding that allows developers to group similar tasks into classes.” 一、 認識物件(Object)與類別(Class) - Understanding Objects and Classes 首先,先來了解 物件(Object) 與 類別(Class) 的功能及用途。 類別(Class),可以比喻為一棟建築的設計藍圖,清楚的定義了建築的結構及形狀。 物件(Object),可以比喻為一棟真的房子, 物件是類別的實例化 。 而 資料(Data) 就是房子所需要的材料(如 鋼筋、電線、混泥土)若沒有依照 設計藍圖(類別Class) 來組裝,那材料就僅僅是一堆材料。 但當 材料(資料Data) 依照 設計藍圖(類別Class) 來實作後,那這些 材料(資料Data) 就會變成一個有組織且有用的 房子(物件Object) 類別定義了結構以及行為,並且用這些東西打造物件。當多個物件都是由同一個類別產生出來時,每個物件都是一個獨立的個體,且不相依賴的。 二、建立類別 Class 建立類別的語法很簡單,使用 class 來定義一個類別,然後在類別名稱後面再加上 大括號{} <?php class MyClass { // 類別的屬性與方法要在大括號裡面宣告。 // Class properties and methods go here } 建立類別後,可以使用 new 關鍵字來實例化類別,並存到一個變數上。 $obj = new MyClass(); 使用 var_dump 來查看物件內容。 var_d...
閱讀完整內容

HTML JS 動態顯示 input file 選取內容

-
使用 HTML 取得本地檔案 <input type="file" id="testFile" /> File API  可以從  File  物件中讀取  FileList  , FileList  內包含使用者所選取的檔案。 如果使用者只選擇一個檔案,那麼我們只需要考慮第一個檔案物件。 使用 DOM 獲取選擇的檔案 HTML: <input type="file" id="testFile" /> JS: var file = document.getElementById('testFile').files[0]; 使用  JQUERY  獲取選擇的檔案 HTML: <input type="file" id="testFile" /> JS: var file = $('#testFile').get(0).files[0]; 使用 change event 獲取選擇的檔案 HTML: <input type="file" id="testFile" onchange="selectFile(this.files)" /> JS: function selectFile(files) { var file = files[0]; } 獲得選取的檔案資訊 上述的例子顯示獲取在檔案清單裡所有檔案物件的方法。 File  提供三個包含檔案重要訊息的屬性。 name : 唯讀的檔案名稱,並未包含檔案路徑。 size : 為 64 位元的整數,用以表示檔案的 byte 的長度。 type : 為唯讀字串。表示檔案的 MIME-type 。若是無法取得檔案的 Mime-type ,則其值會是一個空字串 “”。 使用 FileReader 讀取文件內容 讀取文字 HTML: <input type="file" onchange="selectTextFile(this.files)" /> <p id="showText">...
閱讀完整內容