Экранирование вводимых данных

Question

[Ska1n]

Хоу. Подскажите, хабравчане, пишу проект, есть поля, куда может вводить пользователь, скажем, добавлять на сайт новости, на какие вводимые символы стоит обратить внимание, чтоб их экранировать или удалить для предотвращения инъекций? Нагуглил вот такую тему, может посоветуете еще че-нить?
ЗЫ:
немного переформулирую вопрос — пользователь добавляет новость, вставляя теги, задача — отфильтровать вводимое, чтобы на выходе получился текст с html тегами, но при этом отфильтрованный от кода инъекций

Answer 1

[FanKiLL]

Django html sanitizer

Выставляете теги которые разрешенны, остальное будет удаленно. Например как на хабре.

Или в гугле пишите python white list html sanitizer — если не найдете удоволетворяющюю всем требованиям библиотеку то точно поймете в какую сторону копать.

Или берете любой html парсер на python и пишете свой велосипед, просто проходтесь по дереву и удаляете теги которых нет в разрешенном листе. Так можно и кастомные теги сделать как на хабре например <slideshow>

Еще например если будет возможноть вставлять куски кода то в нутри тегов <code> нужно все экранировать чтоб если вставять кусок html или js в статье или коментариях оно не воиспроизводилось в браузере.

Вообщем там много нюансов, смотря что требуется.

Пишу с планшета, ошибок море, извиняюсь.

Answer 2

[evnuh]

Не, лучше все-же не пугаться и заюзать ORM.
И то это не даст 100% гарантии в безопасности. Например, если у вас есть выпадающее меню для выбора сортировки по определенному полю, который вы невзначай так и передаете в БД в параметр ORDER BY.

Comments

[Ska1n]

я, честно говоря, до конца понять не могу, как его использовать в джанге… да и не до конца понимаю ORM в целом, сложилось мнение, что это, как и ООП — логика работы в целом

Answer 3

[Hint]

Ничего вырезать не надо. При вставке в базу само собой экранировать кавычки (а точнее использовать PDO, плейсхолдеры, ORM или что-то подобное). А при выводе на страницу использовать htmlspecialchars, если речь о php.

Comments

[Ska1n]

Благодарю. Речь идет о django

[Ska1n]

ковычками одними не обойтись… при вставке
<SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT>
браузер хавает :(

[Hint]

Кавычки относились ко вставке в БД :) При выводе html само собой надо экранировать скобки (меньше, больше), амперсанд, двойные и одиночные кавычки.

from django.utils.html import escape
print escape('<div class="q">Q & A</div>')

[Ska1n]

благодарю, есть куда копать)

[Ska1n]

почесал голову и подумал, ок, будет экранироваться html, но тогда и теги и тоже не сработают и получится на выходе не отформатированный текст, а исходник html…

[Stalker_RED]

В пхп есть такая штука как stip_tags(), но еще желательно резать некоторые аттрибуты, всякие onclick, onload, onmouseover и т.д., туда тоже пользователи могут гадостей понаписать. На эту тему есть готовые реализации, можно и свою написать.

Answer 4

[Yuri Shikanov]

Если вы используете django, то вам не стоит об этом беспокоится. ORM сам позаботится об экранировании кавычек. А в шаблонах все выводимые строки по-умолчанию экранируются для защиты от xss.

Comments

[Ska1n]

то есть, то, что у меня сейчас xss вылезает, это я неправильно использую шаблоны?

[Yuri Shikanov]

Это очень странно. Судя по документации, если вы сами не отключили экранирование, то с xss не должно быть проблем.

[Ska1n]

получается, что отключил) как раз вывожу с ключом safe. Исходя из этого получается тогда другой вопрос, как реализовать преобразование тегов в html, при этом обезопасить себя от инъекций :)

[Yuri Shikanov]

Пользователь должен иметь возможность ввода html? Как вариант можно заменить html на markdown. Или использовать один из пакетов.

[Ska1n]

к чему, собственно и пришел) написал свой простенький редактор со вставкой а ля bb кода, а со стороны сервера регуляркой фильтровал вводимое и удалял лишнее, вот вопрос и возник, мол, что лучше удалять, а что лучше экранировать)

[Yuri Shikanov]

ИМХО тогда уж лучше использовать markdown, тем более что есть готовые реализации.

[Ska1n]

думал о марке, но интересно самому разобраться в этом вопросе

Answer 5

[FanKiLL]

Просто там не только теги нужно чистить но и атрибуты у тегов, чтоб например не могли тексту поставить какой то css стиль с большими буквами и т.д.

Кстати недавно была статья на хабре там портировали хабра парсер на python.