[討論] 安全性,injection,過濾與跳脫
在 5.6 -> 7.1 的討論串看到一些安全相關的對話
感覺有些東西值得單獨拿出來討論
我自己的意見是這樣:
- 不要一開始就把資料做跳脫,只有到最後要把資料餵出去給其他地方的時候才做
- 例如,做 SQL 的那一行,或寫 HTML 那行
- 設計來幹什麼的 function,就只拿來幹什麼
- htmlentities 只處理 html,不處理 SQL injection
- 不要用 addslashes 跟 magic quote
- 如果可以的話,不要自己組 SQL/HTML/Javascript
- 從根本確保沒有 injection 這件事
----------------------------------------------
上面這幾個原則,是為了達成這幾個目的
- 保留原始資料,就算他裡面可能有髒東西
- 不管 code 寫到哪裡,都可以遵循同樣的做法
- 減少可能有問題的地方
- 難搞的事情,讓比專業的人來做
首先必須要認知,同樣的資料要避免被注入髒東西
在不同的地方處理方法是不一樣的。
例如,同樣 </script><script>alert('1');// 這個字串
- 放進 html 要 escape 成 </script><script>alert('1');//
- htmlspecialchars / htmlentities
- 放進 javascript 字串,要 escape 成 "<\/script><script>alert('1');\/\/"
- json_encode
- 放進 sql,要 escape 成 </script><script>alert(\'1\');//
- mysql(i)_real_escape_string
可以看到不同的地方需要的 escape 都不一樣。
所以你必須需要保留原始的輸入資料,然後在不同的地方各自做不同的轉換
而每個轉換都應該找專門設計來做這件事的 function 來做。
然後,你不該「事先」把資料做 escape。
如果有個 function 是 updateUserNickName($uid, $name)
那麼你應該會預期 $name 是 "It's me, Mario!" 的時候
使用者的暱稱會被改成 "It's me, Mario!"
但,如果你事先把 $name escape 過了,那這個 function 得做的事情就變成
輸入 "It\'s me, Mario!" 的時候,暱稱被改成 "It's me, Mario!"
換句話說,function 行為與業務行為不同步
不管是要寫單元測試,或是未來要改寫這個 function,寫的人詛咒作者的機會很高
再來是,如果建立起不事先跳脫資料的慣例,那麼只要看到
"SELECT * FROM user WHER uid = '{$uid}'"
你不用看前面的 code 也能確定這段 code 一定有問題
不用花時間回去確認「前面到底有沒有事先過濾啊」
可以用更短的時間看出問題所在
addslashes 的問題是他看不懂多位元的文字
可以故意塞特定位元,讓字串過 addslashes 之後剛好變成 '\ 之類的東西
http://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string
magic quote 則是自動幫你套用 addslashes,等於是事先做跳脫
而且結果還不一定能用(記得 js 跟 html 跟 sql 需要的跳脫都不一樣嗎?)
但比起傷腦筋怎麼做跳脫,最好的方法是一開始就不要做可能被插東西的字串
這也是為什麼這年頭普遍建議用 prepared statment
因為你塞進 DB 的 prepared query (例如 SELECT * FROM user WHERE uid = ?)
一定整句是你寫的,不會有外面傳來的東西,百分之百保證不會被插東西
bind 變數的時候,並不是在「把變數組合成一句 SQL」,而是「告訴DB變數的值是什麼」
所以不管使用者塞什麼髒東西,DB 都不會誤會你的意思
同樣的理由,當你需要用 javascript 動態產生表單欄位的時候
不要自己做一段 html 然後 document.write
而是應該 createElement,然後對 element 做 setAttribute
最後 append 到需要的 node 上面
或是用 jquery 的寫法:
$('<input>')
.attr({id:"myid",name:"myname"})
.val(userInputValue) // 不管使用者寫什麼髒東西都不怕
.appendTo($('#form1'));
不自己做 html 字串,就不需要擔心 html 端的 injection
(嚴謹的說,是「幾乎」不用擔心)
--
莉娜用魔法爆破進入屋內。
劫犯從另一個房間裡出現,大叫道︰「妳是誰!」
莉娜︰「我是個可疑的女人!」
劫犯無言以對。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.27.61.52
※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1512238781.A.6C9.html
※ 編輯: GALINE (114.27.61.52), 12/03/2017 02:25:24
※ 編輯: GALINE (114.27.61.52), 12/03/2017 09:38:43
推
12/03 10:26,
7年前
, 1F
12/03 10:26, 1F
推
12/03 16:09,
7年前
, 2F
12/03 16:09, 2F
推
12/03 19:43,
7年前
, 3F
12/03 19:43, 3F
推
12/03 19:48,
7年前
, 4F
12/03 19:48, 4F
推
12/04 01:10,
7年前
, 5F
12/04 01:10, 5F
推
12/04 16:34,
7年前
, 6F
12/04 16:34, 6F
推
12/04 19:58,
7年前
, 7F
12/04 19:58, 7F
→
12/04 19:58,
7年前
, 8F
12/04 19:58, 8F
推
12/05 11:35,
7年前
, 9F
12/05 11:35, 9F
推
12/05 14:59,
7年前
, 10F
12/05 14:59, 10F
推
12/14 19:07,
7年前
, 11F
12/14 19:07, 11F
推
12/19 10:14,
7年前
, 12F
12/19 10:14, 12F
→
12/19 10:14,
7年前
, 13F
12/19 10:14, 13F
PHP 近期熱門文章
PTT數位生活區 即時熱門文章
