場でベストサニタイズするユーザー入力?

StackOverflow https://stackoverflow.com/questions/34896

質問

ユーザーのequals信用できない.ない信頼を信用できないユーザの入力します。を取得します。しかし、私はときのサニタイズする入力です。例えば、盲目的で、ユーザの入力してサニタイズしている場合ではアクセス/利用され、いサニタイズの入力を直ちにその店に、この"清掃"のバージョンになっていますか?ん、ありがとうございまもありますが、どんなものになれます。私は学習に最初の方法でデータからのユーザー入力しなければならな慎重になら、"清掃"のデータも雰囲気が無意識や誤って危険です。どちらかの方法だと考える人は、いいのでしょうか。

役に立ちましたか?

解決

私のようなサニタイズするので、できるだけ早く手に殺菌する場合に起こるユーザーを入無効なデータです。があれば、テキストボックスの時代の、いタイプのものが多いんでの打鍵のための文字を通ります。

そして、あの読み込みデータがサーバントについてアメニティチェックが読み込みのデータだけを確認するとともに伝票により決定ユーザなどの手ファイルの編集や修正パケット!)

編集:全体的にサニタイズを早期に無害化まで見失ってきたのデータをも第二の例保存ファイル->ファイルをオープン)

他のヒント

残念ながら、ほとんどの参加者も明確に把握し今回展示されていたと話します。文字通り.み@Kibbeeとも言われています。

このトピックはすべて除菌.でも実は、そんなことのように広いわゆる"汎用殺菌"みんながこんなものであ だけでお使いになれません。

があり a zillionの異なる媒体, 各要 では、異なるデータを設定します。 またもの 単一の中を必要と異なるフォーマットで部品.え、HTMLのフォーマットは無用のためにjavascriptを埋め込HTMLページに表示されます。または、文字列のフォーマットは無用のための、SQLクエリ。

実は、このような"除菌早い"などが示す多くのupvoted回答をかけることができ 不可.としてくださるある中、中部のデータを使用します。いまから守るために"sql-injection"が込まれます。が引退!-一部の必須項目はないのに、まだデータを形にではなくデータベース...すべてのスラッシュに追加されます。

一方で、まめに逃れたすべての"ユーザ入力"...ものsqlクエリがないクオートで囲んでくださいといった数または識別子です。ない"除菌"々に助けられました。

の手でも大丈夫、ちは殺菌にも信用できないとdisdained"ユーザ入力"...一部の内部過程で使用したこのデータなフォーマットとした当社に行ってください。) や絵!してありがとうございました注射にそのすべての栄光に包まれます。

では、これからの実際の使用の観点だけを適切な方法です

  • フォーマットではない"除菌"
  • 直前に使用
  • による中規則
  • ともに以下のサブルールに必要なこの中の異なる部品です。

私はサニタイズログオンダイアログのユーザーデータのように、国立ラドゥ...

  1. 最初にクライアント側の両方を使用regexの制圧許容字 入力中の所定の入力フォーム分野にjavascriptを使用しくはjQueryつのイベントなど onChangeはOnBlurを取り除却下された入力の前でも可 提出する。を実現し、本当にのみ効果がえの方 ユーザーを知り、そのデータを確認サーバーサイドします。この 以上の警告よりも実際に保護します。

  2. 第二に、とんがっこうこうに目をチェックしている 行うサーバサイドでチェックしの形式で記載されております。るだけでなく書からの投稿のページからの指定として有効な 場所、おめでとうスクリプトの前においても任意のデータです。付与し、 それ自体が不足している良いハッカーを自分のサーバーすることが出来ます。作妨害' 両方のドメインのIPアドレスで表示されるスクリプトでは から有効な形です。

  3. 次に、とんでもないことが、い 常に, 実 おはスクリプトに汚れモードになります。この勢いを取得しません怠け者で、勤勉約 ステップ数4.

  4. サニタイズのユーザデータは可能な限り早いをさせregexes適切 のデータが期待されるからで与えられたフィールドの形式です。わからないかのようなショートカット の悪名高い'マジックホーンのユニコーン'吹を痕チェック...やまとしてだけでoffにして汚れの確認のためのすべての またセキュリティ確保のため.このようなpsychopath鋭いナイフ、 喉にとってまっせんしていないというよりはありません。

    これからも、国際化が異なるよりも、ほとんどはこの第一歩としてだけサニタイズ ユーザデータが私は実際に使用することがあり、安全保障 リスクなど、他システム呼び出し、課題を他の変数は、他の文書 店舗データです。ていただく場合にのみ用のデータ入力ユーザーとの比較データ 私に保存されたシステムってこのデータを自分の安全性), そのかわいサニタイズするにはユーザーデータとしての思いをする方法 の提供と安全保障問題です。たとえば、ユーザ名を入力として 一例です。を利用したいユーザー名の入力をユーザーにだけチェックで対戦 私のデータベースに、trueの場合、その利用のデータベースからデータを すべてのその他の機能か電話でのスクリプトであることを知りなので安全でない 利用ユーザーのデータ。

  5. 最後は、フィルターの試みオート提出ロボットによるこれらの日、 人認証システムなどぷ.このことはとても重要なこれらの日 うたのプログラミングの時間に自分の人認証'スキーマを使用する写真 入力のための"人"が入力されているというの。かったのですが また画像認証タイプシステムは本当に迷惑にユーザーだよ squintedアップ目にしようとしているのを読み解く歪みの文字を...通常、 以上。これは、特に重要なスクリプトを使用するにはSendMailやSMTP メールでは、これらのお気に入りとお腹迷惑メール-ボット.

後でこのようについてご説明させていただきしたいのですが、私の妻...サーバーで人気のナイトクラブ、bouncersい、トラブルが少なくきれい のナイトクラブがあります。私bouncersカスタマーサポート/よくあるご(クライアント側の証人の認証)は、バウンサーの右のドアを確認のための有効な形で提出場所---"はとことんまでこのID'、複数bouncersに 近くを走汚れモードの使用regexesの確認 ユーザーのデータ。

ごきげんよう、トメ子です、古いポストが感じたことは重要な人が読んで後の私の訪問はこの実現のための無いので魔法の弾丸 でのセキュリティ、これら全ての作業conjuctionとユーザー提供データについてます。ではこれら二つの手法だけでは実質的には価値のなどの電源のみが存在するときすべてのチームです。

または要約してお友達がいっ---"より良い安全でよい".

更新:

それともう一つやってこれらの日は、Base64エンコードの全てのデータを暗号化、Base64データが居住する私のSQLデータベースです。約三分の以上合計バイト店舗このようになっておりますが、安全保障の給付を上回のデータのサイズと思います。

でどのような殺菌きた、ということがあります。

保護の対SQLインジェクションのないデータそのものです。だけで成功した場合は、そのように継続してご利用いただけ心配ゴのデータは、ユーザが入力されられるようになってい負の影響を論理です。してサニタイズリンク集を作るための数は数日の日から文字列としたものの、いず確認いようにブロックをキーワードなどはなかったです。

保護の対クロスサイト-スクリプティング攻撃をおもしろくするのもいいけどや、前のデータが格納されています。しかし、その他、時には良い自然のままのコピーなどのユーザが入力したので、一度に変更することで、失われた。でもない馬鹿に証明するためにお申込みを出したら消毒HTMLの方に確保することができ得られないときには、いくつかの魚によるSQLインジェクションを用意します。

最も重要なことは常に安定しておきます。偶発的なダブル殺菌には足の不自由な殺菌は危険です。

SQLは、必ずデータベースアクセスライブラリに結合する変数値を自動的にエスケープ。人の手でconcatenatesユーザー入力をSQL文字列を知るべきます。

HTMLへの脱出は可能です。場合は破壊するユーザー入力ができないのであれば、間違いのないようなので編集と固定します。す独自の入力でいます。

初期は、前にして構文解析します。もんを出力降、特にパスを他のコンポーネントでは、shell、SQL、など)必ず消毒.

がんに無理例えば、パスワードをハッシュされる前に保存している(?).ハッシュ機能で任意のバイナリデータです。やす必要はありません印刷してパスワード(?).なんの構文のパスワード-なサニタイズします。

また、必ずやっているの殺菌から信頼されるプロセス-JavaScript/もクライアント側の状況が悪い無駄なセキュリティ完全性ました。(これによっては、ユーザーが早くもだいたものです。)

Perlは、汚れのオプションを考慮した全てのユーザ入力"汚染"でチェックした正規表現です。汚染されたデータが使用でき、周辺でtaintsゆるデータであることまでuntainted.例えば、ユーザー入力が追加されて別の文字列は、新しい文字列も汚染された.基本的には、表現を含む汚染された値を出力します汚染された結果です。

汚染データをスローすることができ周辺で(taintingデータとしても、どで使用されるコマンド効果は、外界とのperlスクリプトは失敗します。いを利用した場合、汚染データへのファイルを作成し、構築シェルコマンドで変更作業ディレクトリなど、Perl合に、セキュリティエラーになります。

思いの他の言語るように"汚れ"が利用できとても目に開催します。いかに早く汚染されたデータが広がない場合はuntaintます。この自然と通常のためのプログラマのように、設定の変数に基づくユーザーデータファイルを開くように感じる危険及びリスクとtainting onになっています。でのサービスをワンストップしく行untaintりたらすぐにデータの一部を外部から

と思う方がよいその他の言語などの検証のユーザーデータをすぐにそのバグやセキュリティホールができな波。また、できやすくな監査コードのセキュリティホールが潜在的ホール。できない予測するデータを用いてどのような目的です。

私の意見はサニタイズするユーザー入力しposibleクライアント側とサーバ側になっているのでこのような

  1. (クライアント側で、ユーザーに 入力で特定のキーの分野です。
  2. (クライアント側で、ユーザーが次のフィールドを使用onblur、テスト入力入力 に対する正規表現、通知のユーザーがそろわない場合は良くない。
  3. サーバ側のテストで入力し、 まずれかの整数をチェック(PHPが使用できis_numeric()), る場合には進められている チェックしに対する正規表現、すべての その他のようにテキストコメントは、 脱出します。ある場合は疑いを停止スクリプトの実行に戻り、ユーザーに通知すると、データのたeneteredに無効となります。

ば楽のように見えposible、攻撃のスクリプトの送信メール、SMSになると思って確認でき、maibeるのを防止するとposibleいかの確認が必要となるためのログというスログをユーザーのすべての入力での取り組みスクリプトを以前のものを受け入れ、入力または拒否します。

クリーンにデータをする前にダウンロードしましょう。一般的になんかプレフォーミング 他の SQL行な清掃入力します。使いを目SQLインジェクション攻撃ができます。

私のようなこれらの基本ルール

  1. るだけでなく改変SQL行動などの挿入、更新、削除をします。いを取得します。
  2. 逃げます。
  3. ご期待ユーザが入力されていると思いますが、"確認することを確認すること。例えば、ご請求者の番号、その後れていることを確認してください。使用検証.
  4. 使用する事が出来ます。清掃不要な文字です。

ユーザー!

もうないが、私のアプローチを常にsanatize直ちに確保するためのものリスクが近くで私の英語版をご覧下さい

追加のメリットはすでにフィードバックしてユーザーの場合はサニタイズ時点入力します。

いすべてのユーザーが悪意のある.サニタイズすべて入力します。完全に停止します。

私はサニタイズデータの前にいず加工します。いる必要があり、最初のフィールド名と連結した第三分野に挿入されるためのデータベースです。私サニタイズを入力しても、連結したいかないような処理又は挿入します。の早づくりを行っています。もJavascriptを使用の前に、ウェブセットアップ)は理想的であることがなデータのサーバ。

の恐ろしい部分ができない殺菌データのデータベースです。最近のサージのASPRox SQLインジェクション攻撃されたかを重致死で感染すべてのデータベースのテーブルにデータベースです。場合データベース開催のどこかにある複数のアカウントと同じデータベースのデータが破損のため他人のミスを展開しているが、なかんの仲間入りを開催マルウェアのご来館による初期故障ます。

くするための作業フロントがあればそのデータが重要であるが、それでいて投資である。

その清掃ですぐには二つの利点があります。きを検証する技術を開発しているので、フィードバックはユーザーが行います。すな心配は消費のデータです。

ユーザー入力を必ずして悪意のある前におろす下層のご使用をご検討ください。常に扱い殺菌力は早めには何らかの理由に格納するデータベースをチェックする前に、悪意のある意図するだけでも構いません。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top