https://stackoverflow.com/questions/146839
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我目前拥有一个相当强大的服务器端验证系统,但我正在寻找一些反馈以确保我涵盖了所有角度。以下是我目前正在做的事情的简要概述:
确保输入不为空或太长
转义查询字符串以防止 SQL 注入
使用正则表达式拒绝无效字符(这取决于提交的内容)
对某些 html 标签进行编码,例如 <script> (所有标签在存储在数据库中时都进行编码,其中一些标签在查询以在页面中呈现时进行解码)
我有什么遗漏的吗?欢迎代码示例或正则表达式。
解决方案
您不需要“转义”查询字符串来防止 SQL 注入 - 您应该使用准备好的语句。
理想情况下,您的输入过滤将在任何其他处理之前进行,因此您知道它将始终被使用。因为否则你只需要错过一个地方就很容易出现问题。
不要忘记在输出上对 HTML 实体进行编码 - 以防止 XSS 攻击。
其他提示
您应该对每个 html 标记进行编码,而不仅仅是“无效”标记。这是一个激烈的争论,但基本上可以归结为总会有一些无效的 HTML 组合,您会忘记正确处理它们(嵌套标签、某些浏览器“正确”解释的不匹配标签等)。因此,我认为最安全的选择是将所有内容存储为 htmlentities,然后在输出时从内容中打印经过验证的 HTML 安全子集树(作为实体)。
在专用于该任务的库中运行所有服务器端验证,以便某一领域的改进影响所有应用程序。
此外还包括针对已知攻击的工作,例如目录遍历和尝试访问 shell。
此问题/答案有一些您正在寻找的很好的答案
(面向 PHP,但话又说回来,您没有指定语言/平台,其中一些适用于 php 世界之外):
您可以查看 过滤器扩展 用于数据过滤。它不能保证你完全无懈可击,但我个人感觉使用它要好得多,因为该代码有很多人在关注它。
另外,请考虑附议准备好的发言。在 SQL 查询中转义数据已成为过去。
