Wie die Flucht Ausgabe in PHP

Ich bin ein newbie, nur klar zu sein. Ich höre viel über die Flucht von Daten XSS-Angriffe zu vermeiden. Wie kann ich eigentlich tun?

Dies ist, was ich Tue, derzeit

$s = mysqli_real_escape_string($connect,$_POST['name']));

Ist dies genug? Dank

  • Sie müssen uns sagen, was Sie mit den Daten macht. Sind Sie auf einfügen in eine Datenbank? Oder Ausgabe auf einer web-site? Alles, was du mit den Daten machen, erfordert eine andere form der Abwasserentsorgung.
  • sowohl....in einer Datei, die ich akzeptieren und einfügen...die anderen...ich Ausgang.
  • Bedenkt, dass jetzt werde ich legen Sie die $s in der Datenbank. Ist es sicher genug?
  • Es hängt davon ab. Sehen Sie einige der code, den Sie verwenden zum einfügen der Daten in die Datenbank
InformationsquelleAutor Chrism | 2011-02-28
  1. 7

    Wenn Sie die Ausgabe der Daten in html, die Sie verwenden sollten htmlspecialchars()
    sonst, wenn Sie die Speicherung der Daten in einer Datenbank sollten Sie die Flucht strings mit mysqli_real_escape_string() und cast zahlen (oder verwenden Sie vorbereitete Anweisungen, die für beide)
    und schützen Bezeichner/Betreiber von whitelist-basiertes filtern whem.

    Diese beiden Methoden sind alles, was Sie brauchen, wenn Sie Sie verwenden die richtige Art und Weise.

    • Bearbeitet Ihre Antwort zu machen, ist es hilfreich
    InformationsquelleAutor SuperSpy
  2. 4

    Sollten Sie verwenden htmlspecialchars für die Ausgabe eher als mysqli_real_escape_string.

    • Nach Ausgang meinst du mit echo?
    • durch Ausgabe heißt er in der selben Ausgabe, die Sie gebeten haben. Überprüfen Sie Ihre Frage Titel für die Erinnerung.
    • Ausgabe, in diesem Fall bedeutet "Sachen, die bekommt in ein HTML-Dokument als HTML" (als Gegensatz zu, sagen wir, JavaScript). Es spielt keine Rolle, wenn Sie mit echo, print, <?= oder etwas anderes.
    • Ja, wenn Sie eine Ausgabe nicht Vertrauenswürdige Daten in die Datenbank, die Sie verwenden mysqli_real_escape_string($something) oder $pdo->quote($something) oder prepared statements. Wenn Sie eine Ausgabe nicht Vertrauenswürdige Daten an den Benutzer per echo etwas in die html-Seite, die er/Sie erhält, die Sie verwenden htmlspecialchars($something, ENT_QUOTES);
    • das ist eine Antwort, die jeder erwartet.
    • um zu vermeiden, Unmengen von Sicherheitslücken (aber nicht alle können vermieden werden, indem dieser), die Sie benötigen, um zu entkommen die Daten für die Ausgabe auf dem medium. Und jedes medium hat verschiedene output-Regeln, so dass für die Datenbank, die Sie verwenden eine Reihe von Funktionen für die html - /xml-andere, zur Verwendung von nicht vertrauenswürdigen Daten zu exec-Prozesse auf dem server eine andere... Lange Geschichte kurz, jedes medium ist anders, deshalb benötigen Sie unterschiedliche Funktionen
    • Sie verstehen nicht, was die Flucht für. Es ist nicht für "nicht Vertrauenswürdige Daten", sondern für beliebige Daten geht-Datenbank. Darüber hinaus ist es für die string geben Sie nur Daten, nicht für irgendetwas anderes. Siehe akzeptierte Antwort für details. Das ist sehr wichtige Sache zu verstehen oder zu bekommen anfällige code in Sekunden.
    • Granatsplitter ich verstehe, was entkommen ist, vielleicht nicht ich erklärte mich selbst auch. Ja, "nicht Vertrauenswürdige Daten" ist vielleicht ein wenig niedrig. Alle Daten sollten vor der Ausgabe escaped werden, aber speziell die Daten, die von den user: Wenn ich weiß, dass einige Eigenschaft ist nur eine alphanumerische Zeichenfolge, dann eines wirklich nicht brauchen, um es zu entkommen, althougth es ist die beste Praxis zu tun (vielleicht in der Zukunft diese Eigenschaft kann jede Art von char, nicht nur alphanumerische?)
    • sicher, das ist, was prepared statements in der Tat -, um die Programmierer nicht zu denken, wenn die Daten vertrauenswürdig ist oder nicht, sondern dass es syntaktisch korrekt ist bedingungslos, ohne Ausnahmen, Ausreden oder Annahmen.

    InformationsquelleAutor Tokk
  3. 0

    Wenn Sie gerade erst anfangen, um das code gegen Angriffe (im Sinne SQL-Injection-Angriffe), Sie wird besser sein, zu überprüfen, out parametrisierte Abfragen. Was Sie im Grunde tun, ist Ihre separate Inhalte (Eingabe) der Kommandos (sql), so können Sie nie haben, Sie zu verwechseln mit einem möglichen mallicious Benutzer eingegebenen information, wie den Namen.

    Können Sie versuchen, beginnend mit der PDO Klasse:
    Sie können beginnen, Lesen Sie die PDO Handbuch hier: http://php.net/manual/en/book.pdo.php und diese Seite hat ein schönes Beispiel: http://php.net/manual/en/pdo.prepared-statements.php

    <?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);

//insert one row
$name = 'one';
$value = 1;
$stmt->execute();

//insert another row with different values
$name = 'two';
$value = 2;
$stmt->execute();
?>

    Jedoch, Sie brauchen nicht zu verwenden PDO verwenden, können Sie mysqli auch, siehe http://php.net/manual/en/mysqli.prepare.php

    <?php
/* Script A -- We are already connected to the database */

$stmt = mysqli_prepare($link, "INSERT INTO table VALUES (?, ?, 100)"); /* Query 1 */
mysqli_stmt_bind_param($stmt, "si", $string, $integer);
mysqli_stmt_execute($stmt);
mysqli_stmt_close($stmt); //CLOSE $stmt
?>

    Weil der name ist eine separate Wert ist, kann es nie einen SQL-Befehl, so dass Sie sicher sein automatisch.

    • Hinzugefügt ein Beispiel und einige links für Euch 🙂
    • Dies verhindert, dass SQL-injection-Angriffe, nicht XSS-Angriffe.
    • Wahr. Ich denke, die ursprüngliche questoin war etwa, dass, und @Chrisam war verwirrt zwischen den beiden, was mich für einen moment verwirrt es auch.
    InformationsquelleAutor Nanne
Schreibe einen Kommentar