[php] Защита от Sql и XSS

Question

[polyakov_andrey]

Здравствуйте, посоветуйте функцию или класс для проверки и обработки входящих данных для защиты от уязвимости (фреймворки не использую).

Answer 1

[NiGP]

Сорри нажал на enter
http://www.php.net/manual/en/book.pdo.php
а точнее ознакомьтесь с
bindParam

от XSS есть не мало функции
strip_tags() – вырезает теги HTML и PHP из строки.

htmlspecialchars() — конвертирует только специальные символы (‘&’, ‘»‘, »’, ‘<’ и ‘>’) в HTML сущности (‘&’, ‘"’…). Используется для фильтрации вводимых пользователем данных для защиты от XSS-атак.

htmlentities() – конвертирует все символы в строке (кроме букв) в мнемоники HTML. Используется для защиты от XSS, являясь более гибким аналогом htmlspecialchars.

stripslashes() – удаляет заэкранированные символы (после преобразования в сущности предыдущими функциями их незачем экранировать)

Comments

[Сергей Береснев]

Боюсь, что надо акцентировать внимание на подготовленных выражениях, ведь bindParam это просто один из способов использовать эти выражения.

Answer 2

[gro]

Что бы защищаться от SQL и XSS-инъекций требуется на минимальном уровне понимать что это вообще такое и как это работает.
Тогда не будет ни инъекций, ни подобных бессмысленный вопросов, ни подобных бессмысленных ответов.

Comments

[Сергей Береснев]

Ответы тут на высоте.

Answer 3

[Александр]

для SQL рекомедую использовать mysqli, в нем тип данных указываешь при подготовке запроса
от XSS экранируй htmlspecialchars() и используй везде в html двойные кавычки — это и по стандарту и безопасно (можно экранировать конечно с ENT_QUOTES, но это лишний головняк.

Comments

[polyakov_andrey]

Вместо mysqli используется PDO, для него есть ли что-то подобное?

[mark_ablov]

quote() / prepare()

[Роман]

pdo:

$info = $Database->prepare("SELECT money FROM users WHERE id = :id");
$info->bindParam(':id', $user, PDO::PARAM_INT);
$info->execute();
$out = $info->fetch(PDO::FETCH_ASSOC);

[Сергей Береснев]

Мне видится, что указывание типа данных при работе с подготовленными выражениями никак не сказывается на инъекциях.

Answer 4

[NiGP]

С SQL inj довольно не плохо справляется PDO
более подробно в доках

Answer 5

[Ura78]

и функция обработки входящих данных от Raz0r тык

Comments

[Сергей Береснев]

Это некрасивая функция.

Answer 6

[Алексей Фирсов]

Я всегда делал так, от sql атак.

// Функция экранирования переменных
function quote_smart($value)
{
    // если magic_quotes_gpc включена - используем stripslashes
    if (get_magic_quotes_gpc()) {
        $value = stripslashes($value);
    }
    // Если переменная - число, то экранировать её не нужно
    // если нет - то окружем её кавычками, и экранируем
    if (!is_numeric($value)) {
        $value = mysql_real_escape_string($value);
    }
    return $value;
}


$info = $Database->prepare("SELECT money FROM users WHERE text = '".quote_smart($_POST["text"])."'");

Запрос, составленный таким образом, будет выполнен без ошибок, и взлом с помощью SQL Injection окажется невозможен.

Не верите мне читайте тут http://www.php.ru/manual/function.mysql-real-escape-string.html

Comments

[Сергей Береснев]

А не пробовали пользоваться подготовленными выражениями?

[gro]

Чисто доип… ся: зачем is_numeric()?

[powder96]

> Чисто доип… ся: зачем is_numeric()?

Комментарии в коде говорят, что
> Если переменная — число, то экранировать её не нужно если нет — то окружем её кавычками, и экранируем

А я думаю, что это такая оптимизация: не вызывать mysql_real_escape_string() где это не нужно, но цена этой оптимизации — лишний вызов is_numeric()

Answer 7

[Ura78]

Решение на уровне модуля Апача ModSecurity

Comments

[Сергей Береснев]

Точно, можно ещё написать: вместе с нашей CMS вы должны поставить ModSecurity

Answer 8

[MrGroovy]

Для защиты от межсайтового скриптинг (XSS) можно воспользоваться встроенными функциями, например такими:
htmlspecialchars()
Преобразует некоторые символы в виде HTML-сущностей, чтобы сохранить их значение. Обязательно используйте ее для фильтрации данных вводимых пользователей.
Для защиты от SQL-инъекций можно использовать следующие функции:
mysql_real_escape_string()
Экранирует специальные символы, принимая во внимание кодировку соединения, таким образом, что результат можно безопасно использовать в SQL-запросе.
Еще можно защититься используя фильтрацию по "белому" списку, приведение переменных и используя подготовленные запросы.
Чтобы найти поля, которые подлежат фильтрации можете воспользоваться специальными сканерами по поиску уязвимостей, например для SQL-инъекций можете воспользоваться утилитой SQLMAP
Еще перед вами стоит более комплексный подход по защите сайта, то можно воспользоваться онлайн сканерами уязвимостей, которые могут проверить большинство уязвимостей сайта, а так-же не помешает проверить наличие уязвимостей связанных с работой прикладных протоколов. Попробуй metascan или https:// sitecheck.sucuri.net