最受欢迎

关于XSS攻击和SQL注入的问题

Issue about XSS Attack and SQL Injection

本文关键字:注入 问题 SQL XSS 攻击 关于 | 更新日期: 2024-02-06

我是web security的新手。在花时间阅读了一些博客和社区网站(如SO)后,我发现了一些技术可以安全地避开XSS AttackSQL Injection。但问题是,大多数与安全相关的问题都很老。所以,我的问题是

does my following code has any major security holes that can be bypassed by amateur or mid-level attacker(hacker)

我还能做些什么来保护自己免受攻击吗?顺便说一下,我使用HTMLPurifier是为了避免XSS Attack

PHP

require_once '/path/to/HTMLPurifier.auto.php';
$connect_dude=mysqli_connect('localhost','root','','user');
$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
if(isset($_POST["sub"])){
  $name=$_POST["namex"];
  $email=$_POST["email"];
  $ques=$_POST["ques"];
  $clean_name = $purifier->purify($name);
  $clean_email = $purifier->purify($email);
  $clean_ques = $purifier->purify($ques);
  $stmt = mysqli_stmt_init($connect_dude);
     if(mysqli_stmt_prepare($stmt, 'INSERT INTO question (name,email,question) VALUES(?,?,?)')) {
        mysqli_stmt_bind_param($stmt, "sss", $clean_name, $clean_email, $clean_ques);
        mysqli_stmt_execute($stmt);
      }
}

HTML表单

<div id="form">
  <form id="sub_form" action="ask.php" method="post" enctype="multipart/form-data">
     <p id="nam" class="indi">Name</p><input type="text" id="namex" name="namex" placeholder="Your Name" required></br>
     <p id="ema" class="indi">Email</p><input type="text" id="email" name="email" placeholder="Email" required></br>
     <p id="que" class="indi">Question</p><textarea id="ques" name="ques" placeholder="Question" required></textarea></br>
     <input type="submit" id="sub" name="sub" value="Send">
  </form>
</div>

SQL的东西很好,参数化查询是防止SQL注入的最佳实践方法。

XSS的方法…有点奇怪。

HTMLPurifier可以用于允许用户输入有限的HTML标记的地方。如果您不愿意提供自己的自定义迷你标记语言(如Markdown),那么对于可格式化的自由文本字段(我猜ques就是这样)来说,这是合理的。

但是,您真的希望用户能够输入所有字段的标记,包括它们的名称和电子邮件地址吗?我应该有"EdwardboingJr"的名字吗?用户每次想要使用"与"符号时都必须输入&amp;吗?

更好的方法通常是接受纯文本,然后在将其插入HTML页面时对其进行HTML转义(例如使用<?php echo htmlspecialchars($value); ?>),以便用户输入的确切字符串显示在页面中。故意允许标记的字段(因此使用HTMLPurifier而不是htmlspecialchar)通常是非常特殊的情况。

请注意,如果您正在向其他上下文中注入,则需要不同的转义函数:例如,如果您在<script>块中注入JavaScript字符串,则需要JS字符串转义,而htmlspecialchars和HTMLPurifier都无法帮助您。

也许是在测试是否设置了每个post变量,而不仅仅是sub变量。此外,在发送到php之前,也要在javascript中检查它们,以清除帖子中任何不需要的字符。例如,您可以正则表达式并在javascript中测试空字符串。

支票越多越好。

您也可以使用不常见的名称(abrv_page_name_email,而不是简单的"电子邮件")。

很多东西。

Regex和mysqli_real_escape_string也是常见的做法。

相关文章:
最新更新
www.56WenDa.com 2012-2023 | php问答网 | php学习