Как защититься от таких инъекций или как они называются?

Question

[Ruslan Website]

Я плохо шарю в php, сделал систему комментариев, и через нее просто суют что хотят

Comments

[Dark_Dante]

Защититься просто - функция htmlspecialchars https://www.php.net/manual/ru/function.htmlspecial...

Answer 1

[FanatPHP]

Тег <script> не имеет ни малейшего отношения к mysql.
Наличие этого тега в базе данных никакой инъекцией не является.

"Инъекция" будет только если этот тег будет выведен внутри HTML кода как есть. Называется XSS
"Инъекция" которая относится к mysql называется SQL инъекция, и чаще всего позволяет прочитать из БД любые данные. Скорее всего является неактуальной для данного сайта, поскольку там просто нечего читать.

Чтобы защититься от XSS, надо использовать htmlspecialchars() при выводе данных в HTML
Чтобы защититься от SQL инъекций, надо использовать для работы с БД подготовленные выражения
Чтобы не "совали" всякий мусор, надо использовать защиту от спама, например капчу.

Answer 2

[Михаил]

Это называется XSS. Защищаются от нее путем фильтрации вводимого пользователем содержимого. Самое простое - экранировать HTML-теги, чтобы они выводились пользователю как текст, а не как HTML-код. Более сложный вариант - оставлять только безопасные теги, которые пользователь может использовать для оформления комментария (полужирный шрифт, курсив, подчеркивание, цвет шрифта и т.д.). Для этого есть готовые библиотеки, если будете писать самостоятельно - велик шанс что упустите какой-нибудь corner case и оставить "дырку" в сайте.

Comments

[Adamos]

Классика Тостера - автор в силу собственного невежества отмечает верным ошибочный ответ. Во всяком случае, ошибочно сформулированный: никакой фильтрации вводимого не требуется, нужно экранировать вывод.

[Михаил]

Adamos, далеко не всегда. Если нужно разрешить в комментарии некоторые теги - вы будете каждый раз парсить выводимый комментарий и фильтровать запрещенные? И насколько сильно просядет производительность делать это при каждом выводе, каждого комментария?

Поэтому существует такое понятие как HTML sanitizing

А в тех местах где не предполагается тегов (заголовок сообщения, например) - там да, проще при выводе. И для этого целесообразно использовать какой-нибудь движок шаблонов (тот же Twig или Smarty или еще какой-нибудь), который это и так делает (в тех с которыми я работал нужно специально помечать места в которые можно выводить небезопасное содержимое)

[FanatPHP]

Adamos, по-хорошему, этот вопрос вообще надо удалить, как "легко ищется поисковиком"
но как мы узнали недавно, нищасные замученные волонтеры, которых здесь называют "модераторами" с трудом сами ориентируются как в предметной области, так и в доступных им инструментах, и адекватной реакции от них ждать не стоит

[Adamos]

Михаил, вот как раз из-за этого понятия куча сайтов, включая Тостер, "съедают" текст ответа, в котором пишущий не потанцевал с обертками, вместо того, чтобы просто вывести то, что написано, отсекая только очевидный мусор.

[Михаил]

Adamos, а это уже вопрос тонкой настройки правил санитайзинга. Но, как по мне, в этом вопросе лучше перебдеть. Оставление того что кажется "безопасным" может привести к разным неприятным спецэффектам (я, когда копал способы засунуть XSS в сайт, просто поражался фантазии хакеров и разным, не всегда документированным, возможностям браузеров). А еще есть вариант, что то что "безопасно" сейчас, по мере развития стандартов и браузеров станет "опасным". Поэтому, увы, тут приходится идти на компромиссы.

[FanatPHP]

Михаил, это совсем другая проблема.
Если честно, то меня поражает количество людей, которые на тостере разговаривают сами с собой, рассуждают о каких-то своих проблемах, не имеющих никакого отношения к вопросу, который был задан

Answer 3

[MrColdCoffee]

называется xss инъекция

при выводе комментариев их нужно фильтровать функцией htmlspecialchars()

если будете делать проверку на пустой комментарий, учтите что 0 тоже может являться пустым при неправильной проверке

Comments

[FanatPHP]

да что вы все несете-то?
никакая это не XSS
это просто скобочки в базе данных

[MrColdCoffee]

FanatPHP, прочитайте вопрос внимательнее!

сделал систему комментариев, и через нее просто суют что хотят

безусловно в базе это просто строка, но на выводе то он получит XSS атаку (система комментариев же подразумевает вывод их...)
автор понял что это инъекция и спросил название

[FanatPHP]

я прочитал
в вопросе нет никаких указаний на XSS
есть только скрин базы данных.
про xss - это уже домысливают скорописаки

[Ruslan Website]

а strip_tags не подойдет?

[Ruslan Website]

FanatPHP, На сайте после этого теперь все уведомления и прочее, у меня стоит вывод комментариев и получается он выводит эти скрипты из бд

[FanatPHP]

Ruslan Website, зачем? лучше htmlspecialchars()

[MrColdCoffee]

Ruslan Website, strip_tags удалит теги, а htmlspecialchars экранирует.
это позволит сохранить целостность комментария

[Ruslan Website]

MrColdCoffee, а зачем мне экранированные теги script? они мне не нужны, мне нужен только текст