Как на php-сервере проверить данные?

Question

[tundramani]

клиент отдает на сервер строку - в ней тело innerHTML-документа
далее при запросе документа на сервере в шаблон документа вставляется этот innerHTML

надо на сервере при приеме этой строки проверить чтобы в ней не было скриптов
и если есть нарушения то сообщать клиенту об ошибке
то есть надо сделать простейшую защиту от хакеров

вариант такой: проверять есть ли в строке строки:

$x = 'строка';
if( stripos($x, 'script') 
|| stripos($x, 'onclick')
|| stripos($x, 'oncontextmenu')
|| stripos($x, 'onmouseover')
|| stripos($x, 'onmousedown')
|| stripos($x, 'onmouseup')
|| stripos($x, 'onmousemove')
|| stripos($x, 'script' ) )
{
	print json_encode("ошибка");
}

Comments

[Konstantin Zhikhor]

напиши правило https://www.php.net/manual/ru/function.preg-match.php
в маске пишешь правило на html теги

[DanKud]

Если я правильно вас понял, то вам не о чем переживать. Код из переменной в PHP не выполняется, а просто записывается как строка. Чтобы код выполнялся из переменной он должен быть обернут в функцию eval(). Вы и сами можете это легко проверить просто отправив какой-нибудь PHP-код в передаваемой строке. Он не будет выполнен.

[Stalker_RED]

DanKud, не, он боится xss, что в браузере выполнят js.

[Stalker_RED]

Konstantin Zhikhor, все теги удалять нельзя, надо только js вычищать.

[Сергей delphinpro]

Загнать строку в DOM парсер
Вычистить атрибуты, вычистить теги script
Сохранить

Answer 1

[irishmann]

Использовать подготовленные запросы и не париться, если Вас беспокоит безопасность БД.
Проверяйте регулярными выражениями, вырезайте JS-скрипты.

UPD.: А вообще, по-хорошему, стоит пересмотреть концепцию. Зачем хранить HTML, не проще его генерировать на основе каких-то минимальных данных?

Comments

[Stalker_RED]

У него нет БД.

[irishmann]

Stalker_RED, понял, спасибо

[tundramani]

в моем случае это и есть простейшие данные - это тело простого документа, например вопроса
в котором текст и картинки

Answer 2

[noeer]

https://www.php.net/manual/ru/function.strip-tags.php
Вторым параметром передаете строку с тегами, которые не хотите вырезать.
Но обычно такие манипуляции производят перед выводом, а не перед записью.

Для защиты от SQL инъекций нужно параметризировать запросы.

Comments

[tundramani]

у меня нет SQL
у меня просто запись в файл

и мне не надо удалять теги - мне надо чтобы не было скриптов

[noeer]

Тогда просто определитесь, какие теги разрешать, и функции strip_tags() будет достаточно.

[tundramani]

noeer, мне хватит stripos() будет достаточно фильтровать по строке "script"

[Stalker_RED]

noeer, js-css-html-php, тупиковый путь, скрипты могут быть не только в теге <script>

[tundramani]

Stalker_RED, как предлагаешь делать?

[tundramani]

Stalker_RED, можно еще добавить фильтрацию по атрибуту "onclick"

[Stalker_RED]

js-css-html-php,

как предлагаешь делать?

я пока не предлагаю, тоже подписался.

можно еще добавить фильтрацию по атрибуту "onclick"

отличный план.
А еще onmouseover, onmouseleave и остальные? :) их дофига. очень.

[Сергей delphinpro]

Stalker_RED,

А еще onmouseover, onmouseleave и остальные? :) их дофига. очень.

Резать все, кроме class, id и data-* (опционально)

[tundramani]

Stalker_RED, собрать список надо, да и всё

[tundramani]

Stalker_RED,

$x = 'строка';
if( stripos($x, 'script') 
|| stripos($x, 'onclick')
|| stripos($x, 'oncontextmenu')
|| stripos($x, 'onmouseover')
|| stripos($x, 'onmousedown')
|| stripos($x, 'onmouseup')
|| stripos($x, 'onmousemove') )
{
	print json_encode("ошибка");
}

[Stalker_RED]

js-css-html-php, но ведь это не полный список. Замучаешься)

[tundramani]

Stalker_RED, где взять полный?

[Stalker_RED]

js-css-html-php, хз. Внимательно вычитывать спецификации или mdn, например?
Ну вот к примеру onkeyup или onscroll вы не учли.
Если вы их добавите в список - я вам еще найду. Тут сам подход неправильный.

[tundramani]

Stalker_RED, если есть конечный список атрибутов - то почему неправильный?

можно еще проще сделать - фильтровать по слову function
то есть по основным ключевым словам js

[tundramani]

Stalker_RED, https://meliorem.ru/frontend/javascript/spravochni...

- надо понять какие из них фильтровать

[Stalker_RED]

js-css-html-php,
В этом примере нет слов script и function:

[Stalker_RED]

js-css-html-php,

какие из них фильтровать

в том-то и дело, что нужно фильтровать почти все, и нет никакой гарантии, что этот список полный.

[tundramani]

onclick
ondblclick
oncontextmenu
onmouseover
onmouseenter
onmouseout
onmouseleave
onmousedown
onmouseup
onmousemove

ontouchstart
ontouchmove
ontouchend
ontouchcancel

onwheel

altKey
ctrlKey
shiftKey
metaKey

onkeydown
onkeypress
onkeyup

ondrag
ondragend
ondragenter
ondragleave
ondragover
ondragstart
ondrop

oncopy
oncut
onpaste

[tundramani]

Stalker_RED, еще вариант:

в тексте документа запретить один символ: =
без него ни один скрипт не работает

[Stalker_RED]

js-css-html-php, тогда вообще все атрибуты отвалятся.
У вас задача вообще в чем состоит?

[tundramani]

Stalker_RED, есть простой документ, например вопрос как на тостере
в который пользователь-хакер может внедрить js

этот код может что-то сделать - не знаю что
на всякий случай хочу сделать защиту

[tundramani]

Stalker_RED, как называется этот тип уязвимостей?

[Stalker_RED]

js-css-html-php, самое близкое, пожалуй, xss, можно еще js injection почитать.

Вам скоее всего подойдет белый список тегов и атрибутов. А черный список лучше забыть.