PHP-Sicherheit - $_POST - Injektion

Bevor Sie live mit meiner website, ich habe einige Gedanken über Sicherheit:

Diese Frage ist über das Verständnis der Verarbeitung in PHP und nicht danach strebt, eine Lösung bei der Absicherung der form.

Betrachten Sie dieses barebone-Skript, welches komplett unsicher gegen xss und
sql-Injektionen, wenn vorhanden.

<?
if ($_POST['submit']=="1"){

    $input = $_POST['input'];
    echo "echo the input: ".$input."<br/>";
}
?>
<form action="<? $PHP_SELF;?>" method="POST">
<input type="text" name="input" value="<? echo $_POST['input'];?>"/>
<input type="hidden" name="submit" value="1"/>
<input type="submit" value="submit"/>
</form>

Frage ich mich, warum eine solche Injektion wie funktioniert das nicht (in dem Feld input):

";unset('index.php');

bin ich naiv zu denken das "; würde am Ende der echo-und als gehen Sie mit dem code.
Eigentlich bin ich sehr glücklich, das funktioniert nicht, aber ich würde gerne wissen, warum.
In SQL diese Art von würde aktuellen Arbeit 'ODER 1'.

ich wissen, um zu sichern diese mit addslashes oder htmlspecialchars aber das ist nicht die Frage. Ich will gewinnen, ein Insider, wie php funktioniert in der Verarbeitung dieser.

Dank

  • In Bezug auf Ihre eigene beiseite: Seien Sie vorsichtig mit allen string_munging Funktionen wie addslashes(), mysql_real_escape_string() und htmlspecialchars() Sie nur geben Sie den Schutz, den Sie wünschen in ausgewählten Orten und unter bestimmten Umständen. Siehe stackoverflow.com/questions/110575/...
InformationsquelleAutor Email | 2012-01-09
  1. 1

    Den Inhalt von $_POST array-Elemente sind Zeichenketten. Also, wenn Sie submit ";unset('index.php');" (btw, nicht unset Arbeit auf Variablen?) Sie tatsächlich senden, die als string, nicht als ausführbare PHP-code.

    Es sei denn, du verwendest eval(), brauchen Sie nicht zu Angst über php-code ausgewertet.

    Andere Sache, nicht mit addslashes() zu sichern Abfragen, aber mit Ihrer Bibliothek dedizierte Funktion wie mysql_real_escape_string() für mysql. Oder besser verwenden des Abfrage-Bindungen mit prepared statements und parametrisierten Abfragen.

    • hi. ja, aber gegen xss würde ich nicht mit htmlspecialchars? oder ist das obsolet, wenn ich mit POST anstelle von GET? <script>alert('hi');</script>
    • Nein, htmlspecialchars() oder htmlentities() wirklich, was Sie verwenden gegen XSS (sowohl für $_POST und $_GET und $_COOKIE. Für alles, eigentlich). Ich Sprach über das sichern von DB-Abfragen, ich dachte, Sie bezeichnet, wenn das reden über addslashes()
    • ich markiere dies als Antwort verursachen, es erklärt die Gründe. thx 2 kolink zu .
    • ich war zu tun 😛 Damien, wenn wir nur mit echo ist es immer noch gefährlich ? oder den wodul werden nur gefährlich, wenn wir mit eval ?
    InformationsquelleAutor Damien Pirsy
  2. 1

    Es funktionieren würde, wenn Sie es durch eval(), aber sonst ist es nur ein string wie jeder andere.

    • also du meinst, wenn ich Schreibe, in die Verarbeitung der eval() oder wenn jemand spritzt mit eval ";eval(unset('index.php')); . ich denke, die erste, die mir gefällt, weil ich nie benutzt eval vor.
    • NEIN, wenn Sie senden eval(unset($var)) Sie NOCH senden Sie ein string , eine wörtliche Zeichenfolge. Eval() hat bewerten die Zeichenfolge, um zu machen, eine ausführbare php-code; wenn es keine eval() im code, du bist sicher gegen problem
    InformationsquelleAutor Niet the Dark Absol
Schreibe einen Kommentar