Как очистить строку для защиты от XSS и SQl-инъекции, но пропускать спец-символы?

Question

[# a r t u r #]

Здравствуйте уважаемые!

Возможно есть у кого-то проверенная временем функция?

И насколько, кстати, вообще безопасно пропускать спец-символы? В Вк например их повсюду вставляют в сообщения, хотелось бы реализовать подобное, но при этом защититься от XSS и SQl-инъекций...

Спасибо

Answer 1

[Andry]

Ваш вариант защиты от инъекций в корне неверный. Для защиты необходимо не строку "очищать", а правильно с ней работать, как описал выше Алексей Николаев.

"Очисткой" вы защититесь лишь от примитивных попыток взлома и 100% будут случаи, когда вы будете "портить" содержимое строки. Бесят сайты, гд в коментарии нельзя нормально указать кусок html-кода (именно как текст). Их создатели тоже решили, что надежней "вырезать".

Добавлено
В итоге уточнений пришёл к выводу такому:

<?php
  function my($text){
#    return $text;
#    return htmlspecialchars($text);
    return htmlspecialchars($text, null, null, false);
  }
  ?>
<br>&#174;
<br><?=my('&#174;')?>
<br><?=my('<b>text-&#174;-text</b>')?>
<br><?=my('<script>alert("XSS &#174;")</script>')?>

Comments

[# a r t u r #]

Это понятно, на данный момент сайт работает на Kohan-е, там есть хелпер HTML::chars(), но он как раз и преобразует спецсимволы в html-сущности, но есть один момент на сайте, когда нужно разрешить спец-символы ® вот я и думаю как безопасно отказаться от HTML::chars() который основан на htmlspecialchars() и пропустить без риска

[Andry]

Отказ от htmlspecialchars() - путь в бездну ошибок и проблем )

Совсем не понимаю, как приведенный вами символ связан с htmlspecialchars().

php.net/manual/ru/function.htmlspecialchars.php
Производятся следующие преобразования:
'&' (амперсанд) преобразуется в '&'
'"' (двойная кавычка) преобразуется в '"' в режиме ENT_NOQUOTES is not set.
"'" (одиночная кавычка) преобразуется в ''' (или ') только в режиме ENT_QUOTES.
'<' (знак "меньше чем") преобразуется в '<'
'>' (знак "больше чем") преобразуется в '>'

Чем вам сейчас мешает эта функция?

[Andry]

Заметьте, что на этом сайте вам не мешают выводить спецсимвол и, в то же время, успешно образатывается XSS ()

[# a r t u r #]

Андрей: для этого и вставил чтобы проверить ) Строка ® ((амперсанд)#174;) после htmlspecialchars() при выводе на экран выводится как обычная строка ((амперсанд)#174;) , символ не отображается, вот я к чему и создал эту тему )

[# a r t u r #]

Андрей: Конечно как вариант можно установить тот же htmlpurifier.org, но это огромная библиотека, мне б попроще без потери в безопасности... такие сайты как toster и habr предусматривают возможное размещение юзерами кусков кода, а в нашем проекте общаются обычные люди - сотрудники и все они блин помешаны на этих спец-символах )) вот и хочется их пропускать

[Andry]

Логично. "'&' (амперсанд) преобразуется в '&' ". Тогда пойдем читать подробней справку...
Я дополнил свой ответ.

[# a r t u r #]

Андрей: Значит фишка в

double_encode
"Если параметр double_encode выключен, то PHP не будет преобразовывать существующие html-сущности. По умолчанию преобразуется все без ограничений."

"html-сущности" - это и есть спец-символы?

[Andry]

htmlbook.ru/samhtml/tekst/spetssimvoly

Я код добавил в свой ответ выше. Пробуйте разные варианты return в функции my() и всё будет ясно.

[# a r t u r #]

/**
	 * Convert special characters to HTML entities. All untrusted content
	 * should be passed through this method to prevent XSS injections.
	 *
	 *     echo HTML::chars($username);
	 *
	 * @param   string  $value          string to convert
	 * @param   boolean $double_encode  encode existing entities
	 * @return  string
	 */
	public static function chars($value, $double_encode = TRUE)
	{
		return htmlspecialchars( (string) $value, ENT_QUOTES, Kohana::$charset, $double_encode);
	}

Получается вторым параметром как раз можно менять double_encode, вопрос в том что еще она пропустит кроме спец-символов?

[Andry]

Меняйте TRUE на FALSЕ в сигнатуре метода и будет вам счастье.

[# a r t u r #]

Андрей: пусть останется, мне эти спецсимволы нужны всего в одном месте (при переписке сотрудников), просто буду передать FALSE в функцию и все, оч удобно предусмотрено, я просто не в курсе был что за параметр такой double_encode, хотя и сейчас не особо догоняю что подразумевается под html-чущностями...

Спасибо за помощь, празжували )

[Andry]

www.w3schools.com/html/html_entities.asp

Ваши спецсимволы - это и есть те самые html-сущности. На сим считаем вопрос решенным на 100% )

Answer 2

[# a r t u r #]

Вероятно нужно использовать strip_tags(), а не htmlspecialchars() , но что-то меня смущают "красные" комментарии в мануале php.net/manual/ru/function.strip-tags.php