作者GALINE (天真可愛CQD)
看板PHP
標題[討論] 安全性,injection,過濾與跳脫
時間Sun Dec 3 02:19:36 2017
在 5.6 -> 7.1 的討論串看到一些安全相關的對話
感覺有些東西值得單獨拿出來討論
我自己的意見是這樣:
- 不要一開始就把資料做跳脫,只有到最後要把資料餵出去給其他地方的時候才做
- 例如,做 SQL 的那一行,或寫 HTML 那行
- 設計來幹什麼的 function,就只拿來幹什麼
- htmlentities 只處理 html,不處理 SQL injection
- 不要用 addslashes 跟 magic quote
- 如果可以的話,不要自己組 SQL/HTML/Javascript
- 從根本確保沒有 injection 這件事
----------------------------------------------
上面這幾個原則,是為了達成這幾個目的
- 保留原始資料,就算他裡面可能有髒東西
- 不管 code 寫到哪裡,都可以遵循同樣的做法
- 減少可能有問題的地方
- 難搞的事情,讓比專業的人來做
首先必須要認知,同樣的資料要避免被注入髒東西
在不同的地方處理方法是不一樣的。
例如,同樣
</script><script>alert('1');// 這個字串
- 放進 html 要 escape 成
</script><script>alert('1');//
- htmlspecialchars / htmlentities
- 放進 javascript 字串,要 escape 成
"<\/script><script>alert('1');\/\/"
- json_encode
- 放進 sql,要 escape 成
</script><script>alert(\'1\');//
- mysql(i)_real_escape_string
可以看到不同的地方需要的 escape 都不一樣。
所以你必須需要保留原始的輸入資料,然後在不同的地方各自做不同的轉換
而每個轉換都應該找專門設計來做這件事的 function 來做。
然後,你不該「事先」把資料做 escape。
如果有個 function 是 updateUserNickName($uid, $name)
那麼你應該會預期 $name 是
"It's me, Mario!" 的時候
使用者的暱稱會被改成
"It's me, Mario!"
但,如果你事先把 $name escape 過了,那這個 function 得做的事情就變成
輸入
"It\'s me, Mario!" 的時候,暱稱被改成
"It's me, Mario!"
換句話說,function 行為與業務行為不同步
不管是要寫單元測試,或是未來要改寫這個 function,寫的人詛咒作者的機會很高
再來是,如果建立起不事先跳脫資料的慣例,那麼只要看到
"SELECT * FROM user WHER uid = '{$uid}'"
你不用看前面的 code 也能確定這段 code 一定有問題
不用花時間回去確認「前面到底有沒有事先過濾啊」
可以用更短的時間看出問題所在
addslashes 的問題是他看不懂多位元的文字
可以故意塞特定位元,讓字串過 addslashes 之後剛好變成 '\ 之類的東西
http://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string
magic quote 則是自動幫你套用 addslashes,等於是事先做跳脫
而且結果還不一定能用(記得 js 跟 html 跟 sql 需要的跳脫都不一樣嗎?)
但比起傷腦筋怎麼做跳脫,最好的方法是一開始就不要做可能被插東西的字串
這也是為什麼這年頭普遍建議用 prepared statment
因為你塞進 DB 的 prepared query (例如
SELECT * FROM user WHERE uid = ?)
一定整句是你寫的,不會有外面傳來的東西,百分之百保證不會被插東西
bind 變數的時候,並不是在「把變數組合成一句 SQL」,而是「告訴DB變數的值是什麼」
所以不管使用者塞什麼髒東西,DB 都不會誤會你的意思
同樣的理由,當你需要用 javascript 動態產生表單欄位的時候
不要自己做一段 html 然後 document.write
而是應該 createElement,然後對 element 做 setAttribute
最後 append 到需要的 node 上面
或是用 jquery 的寫法:
$('<input>')
.attr({id:"myid",name:"myname"})
.val(userInputValue) // 不管使用者寫什麼髒東西都不怕
.appendTo($('#form1'));
不自己做 html 字串,就不需要擔心 html 端的 injection
(嚴謹的說,是「幾乎」不用擔心)
--
莉娜用魔法爆破進入屋內。
劫犯從另一個房間裡出現,大叫道︰「妳是誰!」
莉娜︰「我是個可疑的女人!」
劫犯無言以對。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.27.61.52
※ 文章網址: https://webptt.com/m.aspx?n=bbs/PHP/M.1512238781.A.6C9.html
※ 編輯: GALINE (114.27.61.52), 12/03/2017 02:25:24
※ 編輯: GALINE (114.27.61.52), 12/03/2017 09:38:43
1F:推 bakedgrass: 謝謝分享 12/03 10:26
2F:推 miniear: 謝謝大大分享~~ 12/03 16:09
3F:推 xdraculax: 推 12/03 19:43
4F:推 st1009: 推! 12/03 19:48
5F:推 MangoTW: 推正確觀念 12/04 01:10
6F:推 Kenqr: 推 12/04 16:34
7F:推 tkdmaf: 最近ios群就有個討論,後端要求APP端的請求自行加上\,我 12/04 19:58
8F:→ tkdmaf: 很想跟他說請用力往後端的肚子正拳貫下去…… 12/04 19:58
9F:推 JohnRoyer: 推 12/05 11:35
10F:推 ddoomm: GJ 12/05 14:59
11F:推 cryinglove: 好文不推,怎對得起自己 12/14 19:07
12F:推 shvanta: 這邊真的讚, 之前工作看到有人把Escape過的資料存進DB, 12/19 10:14
13F:→ shvanta: 真是吐血. 他以為那個內容只有他網頁會用嗎... 12/19 10:14