Liste von Zeichen zu beschränken, die für den Schutz gegen XSS und SQL-Injections?

Ich gegangen durch eine Menge von Artikeln gibt, um herauszufinden, eine einfache Liste von Zeichen, die einschränken können einen Benutzer von der Eingabe zum Schutz meiner Website vor XSS und SQL-Injections, aber konnte Sie nicht finden jede generische Liste als solche.

Kann mir jemand helfen, indem Sie einfach geben Sie mir eine Liste der sicheren oder unsicheren Zeichen in diesem Zusammenhang? Ich weiß, das kann Feld spezifisch, aber ich brauche diese für text Feld wo ich will, zu erlauben maximal möglichen Zeichen.

  • vielen Dank allen für Ihre Antworten. so, es scheint, dass ich haben, um die Forschung ein bisschen mehr in diese nur als white-listing Zeichen ist nicht gonna helfen.
InformationsquelleAutor Atul Dravid | 2011-04-22
  1. 5

    Den "schwarze-Liste" - Ansatz ist mit Problemen behaftet. Für beide SQLi und XSS -, input-Validierung gegen eine white-Liste ist wichtig, d.h. zu definieren, was Sie erwarten sondern als das, was Sie nicht erwarten, dass. Denken Sie auch daran, dass die Benutzereingabe - oder "nicht Vertrauenswürdige Daten" - kommt aus vielen Orten: forms, query strings, Header, ID3-und exif-tags etc.

    Für SQLi, stellen Sie sicher, dass Sie immer über parametrierte SQL-Anweisungen, in der Regel in form von stored procedure Parameter oder jeder anständige ORM. Auch gilt das "Prinzip des kleinsten Privilegs" und den Schaden zu begrenzen das Konto eine Verbindung zu Ihrer Datenbank machen kann. Mehr auf SQLi hier: http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html

    Auf dem XSS-vorne, immer Kodieren der Ausgabe und stellen Sie sicher, dass die Kodierung, die es für das entsprechende markup Sprache es erscheint. Ausgabe-Kodierung für JavaScript unterscheidet sich von HTML unterscheidet sich von CSS. Erinnern zu Kodieren, nicht nur die Antworten, die sofort Eingang reflektieren, aber auch nicht Vertrauenswürdige Daten in der Datenbank gespeichert, die halten konnte eine persistente XSS-Gefahr. Mehr über alles das hier: http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-2.html

    Ich weiß, das geht ein bisschen über Ihre ursprüngliche Frage, aber der Punkt ich versuche zu machen ist, dass die zulässigen Zeichen ist aber nur ein kleiner Teil des Bildes. Die anderen Verfahren, die oben erwähnt werden, sind wohl wichtiger (aber Sie sollte immer noch diese weiß-Listen sowie).

    • danke für deine Antwort. also die bottom-line ist, dass nur eine white-list ist nicht genug. aber was ich wissen wollte ist, gibt es irgendwelche Zeichen außer den alphanumerischen Zeichen, die nie in irgendwelche Angriffe. wie zum Beispiel, was ist, wenn ich erlauben nur alphanumerische text mit Punkt (.) und Komma (,) werden, die zulassen, dass jemand zu Schaden?
    • Gibt es irgendwelche Zeichen, die heute oder gibt es irgendwelche Zeichen von morgen? Für heute haben Sie einen Blick auf das XSS-cheat-sheet und du wirst, wie groß der Angriff Strukturen können sein: ha.ckers.org/xss.html Für morgen, nun, der springende Punkt ist, dass wir nicht wissen. Es gibt ständig neue exploits auftauchen, also wer weiß, was für eine Art von null-Tage sind da draußen warten, um zu geschehen. Dies ist der Grund, warum die white-Liste ist so wichtig, auch wenn wir nicht glaubst ein bestimmtes Zeichen könnten dazu benutzt werden, darf man wohl falsch erweisen im Laufe der Zeit.
    InformationsquelleAutor Troy Hunt
  2. 5

    Charakter-Filterung ist nicht wie Sie gehen sollten, um die Sicherheit. Um zu verhindern, dass SQL-injection, Nutzung prepared statements. Um zu verhindern, XSS, sollten Sie Flucht alle Benutzereingaben korrekt

    • vielen Dank für Ihre Antwort und den link, aber ich will nicht zu gehen in die Sicherheits-Sachen jetzt, weil ich nicht so viel Zeit 🙂 kann ich nicht einfach nur vermeiden, bestimmte Zeichen, die bekannt sind, um verwendet werden, solche Angriffe?
    • Ich empfehle, dass Sie es tun, aber wenn Sie gehen zu tun, die Sicherheit von Charakter filtern, dann sind Sie besser dran, whitelisting als blacklasting. Ich weiß nicht genug über SQL-injection oder XSS, um Ihnen eine definitive Antwort auf die Frage, welche Zeichen, die Sie benötigen, um zu verbieten, um absolut sicher (und es gibt keinen Punkt, Verbot jeglicher Zeichen, die, wenn Sie ausgenutzt werden kann, mit anderen), aber ein Verbot Zitate (sowohl Einzel-und Doppelzimmer) und Winkel ist gut für einen start, obwohl mit ziemlicher Sicherheit nicht ausreichend.
    • Atul, wenn Sie wirklich wollen, um kurze Schnitte, beginnen mit parametrierten SQL (Sie sollten nicht tun es auf andere Weise sowieso), und die Ausgabe-Kodierung. Tun Sie dies richtig, und die weiß-Liste gewann T Angelegenheit, so viel (aber Sie sollte noch dies umzusetzen). Black-listed-Zeichen ist ein rutschiger Abhang, die ist fast immer mühsam und schlecht mit begrenzter Wirksamkeit.
    InformationsquelleAutor jstanley
  3. 1

    Blick auf die Umsetzung von xss-Filterung von Drupal-CMS. Die Funktion hat weiße Liste mit erlaubten HTML-tags, alle anderen Sachen werden mit Escapezeichen versehen werden.

    • danke für den link... scheint nützlich 🙂
    InformationsquelleAutor galymzhan
Schreibe einen Kommentar