我是web security
的新手。在花时间阅读了一些博客和社区网站(如SO
)后,我发现了一些技术可以安全地避开XSS Attack
和SQL Injection
。但问题是,大多数与安全相关的问题都很老。所以,我的问题是
does my following code has any major security holes that can be bypassed by amateur or mid-level attacker(hacker)
。
我还能做些什么来保护自己免受攻击吗?顺便说一下,我使用HTMLPurifier
是为了避免XSS Attack
PHP
require_once '/path/to/HTMLPurifier.auto.php';
$connect_dude=mysqli_connect('localhost','root','','user');
$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
if(isset($_POST["sub"])){
$name=$_POST["namex"];
$email=$_POST["email"];
$ques=$_POST["ques"];
$clean_name = $purifier->purify($name);
$clean_email = $purifier->purify($email);
$clean_ques = $purifier->purify($ques);
$stmt = mysqli_stmt_init($connect_dude);
if(mysqli_stmt_prepare($stmt, 'INSERT INTO question (name,email,question) VALUES(?,?,?)')) {
mysqli_stmt_bind_param($stmt, "sss", $clean_name, $clean_email, $clean_ques);
mysqli_stmt_execute($stmt);
}
}
HTML表单
<div id="form">
<form id="sub_form" action="ask.php" method="post" enctype="multipart/form-data">
<p id="nam" class="indi">Name</p><input type="text" id="namex" name="namex" placeholder="Your Name" required></br>
<p id="ema" class="indi">Email</p><input type="text" id="email" name="email" placeholder="Email" required></br>
<p id="que" class="indi">Question</p><textarea id="ques" name="ques" placeholder="Question" required></textarea></br>
<input type="submit" id="sub" name="sub" value="Send">
</form>
</div>
SQL的东西很好,参数化查询是防止SQL注入的最佳实践方法。
XSS的方法…有点奇怪。
HTMLPurifier可以用于允许用户输入有限的HTML标记的地方。如果您不愿意提供自己的自定义迷你标记语言(如Markdown),那么对于可格式化的自由文本字段(我猜ques
就是这样)来说,这是合理的。
但是,您真的希望用户能够输入所有字段的标记,包括它们的名称和电子邮件地址吗?我应该有"EdwardboingJr"的名字吗?用户每次想要使用"与"符号时都必须输入&
吗?
更好的方法通常是接受纯文本,然后在将其插入HTML页面时对其进行HTML转义(例如使用<?php echo htmlspecialchars($value); ?>
),以便用户输入的确切字符串显示在页面中。故意允许标记的字段(因此使用HTMLPurifier而不是htmlspecialchar)通常是非常特殊的情况。
请注意,如果您正在向其他上下文中注入,则需要不同的转义函数:例如,如果您在<script>
块中注入JavaScript字符串,则需要JS字符串转义,而htmlspecialchars
和HTMLPurifier都无法帮助您。
也许是在测试是否设置了每个post变量,而不仅仅是sub
变量。此外,在发送到php之前,也要在javascript中检查它们,以清除帖子中任何不需要的字符。例如,您可以正则表达式并在javascript中测试空字符串。
支票越多越好。
您也可以使用不常见的名称(abrv_page_name_email,而不是简单的"电子邮件")。
很多东西。
Regex和mysqli_real_escape_string也是常见的做法。