Benutzerdaten in GET by PHP bereinigen

Wie Sie desinfizieren die Daten in $_GET -Variablen, die von PHP?

Du nicht bereinigen von Daten in $_GET. Dies ist ein gängiger Ansatz in PHP Skripten, aber es ist völlig falsch*.

Alle Ihre Variablen bleiben sollte, die im nur-text-form bis zu dem Punkt, wenn Sie einbetten in eine andere Art von string. Es ist nicht eine form der Flucht oder 'Bereinigung', das können alle möglichen Arten von Zeichenfolge, die Sie möglicherweise einbetten Ihre Werte in.

Also, wenn Sie die Einbettung eines string in eine SQL-Abfrage, die Sie brauchen, um es zu entkommen auf dem Weg nach draußen:

$sql= "SELECT * FROM accounts WHERE username='".pg_escape_string($_GET['username'])."'";

Und wenn Sie spucken den string in HTML, die Sie benötigen, zu entkommen, es dann:

Cannot log in as <?php echo(htmlspecialchars($_GET['username'], ENT_QUOTES)) ?>.

Wenn Sie nicht beide die Flucht Schritte auf das $_GET-array zu Beginn, wie empfohlen, von Menschen, die nicht wissen, was Sie tun:

$_GET['username']= htmlspecialchars(pg_escape_string($_GET['username']));

Dann, wenn Sie hatte ein '&' in Ihren Benutzernamen, und es würde geheimnisvoll wiederum in '&' in Ihrer Datenbank, und wenn Sie ein Apostroph in Ihren Benutzernamen, es würde in zwei Apostrophe auf der Seite. Dann, wenn Sie haben ein Formular mit diesen Zeichen ist es leicht, Doppel-escaping Dinge, die, wenn Sie bearbeitet, das ist, warum so viele schlechte PHP-CMS landen mit gebrochenen Artikel-Titel wie "Neue Bücher vom O\\\\\\\\\\\\\\\\\\\'Reilly".

Natürlich, daran zu denken, pg_escape_string oder mysql_real_escape_string und htmlspecialchars jedes mal, wenn Sie senden Sie eine variable aus, ist ein bisschen langweilig, das ist, warum jeder will, es zu tun (falsch) in einem Ort am Anfang des Scriptes. Für die HTML-Ausgabe, können Sie zumindest Tipparbeit ersparen, indem Sie definieren eine Funktion mit einem kurzen Namen, der nicht echo(htmlspecialchars(...)).

Für SQL, du bist besser dran mit parametrierbaren Abfragen. Für Postgres gibt es pg_query_params. Oder ja, prepared statements, wie Sie erwähnt (obwohl ich persönlich finde Sie weniger verwaltbar). So oder so, kann man dann vergessen Sie 'bereinigen' oder escaping für SQL, aber Sie muss immer noch fliehen, wenn Sie einbetten in andere Arten von Zeichenketten, einschließlich HTML.

strip_tags() ist nicht ein guter Weg der Behandlung von Eingaben für HTML-Anzeige. In der Vergangenheit hatte es Sicherheitsprobleme, wie browser-Parser sind eigentlich viel komplizierter in Ihrer interpretation dessen, was ein tag werden können, als Sie vielleicht denken. htmlspecialchars() ist fast immer das richtige zu verwenden, anstatt, so dass, wenn jemand Typen eine weniger-als-Zeichen werden Sie tatsächlich bekommen ein literal kleiner-als-Zeichen und nicht den halben text auf mysteriöse Weise verschwinden.

(*: als allgemeiner Ansatz zur Lösung des injection-Probleme, eh. Natürlich gibt es die domain-spezifische Kontrollen, es lohnt sich auf bestimmte Felder, und es gibt nützliche cleanup-Aufgaben, die Sie tun können, wie das entfernen aller steuerzeichen aus übermittelten Werte. Aber das ist nicht das, was die meisten PHP-Programmierer meinen, durch Bereinigung.)

InformationsquelleAutor der Antwort bobince

Müssen Sie bereinigen alle Anforderungen, nicht nur POST BEKOMMEN.

Können Sie die Funktion htmlentities()die Funktion preg_replace() mit regex, filter-Darsteller:

<?
$id = (int)$_GET['id'];
?>

[]'s

InformationsquelleAutor der Antwort fvox