Безопасно ли открывать схему проверки входных данных сайта?

Question

[Сергей Савостин]

Есть некий сайт, входные данные от пользователя которого проверяются, скажем, regexp'ом.
Для отзывчивости веб-интерфейса данные проверяются Javascript на стороне клиента, для предотвращения взлома - дополнительно на стороне сервера (php). Regexp один и тот же. Есть мысль вынести его в json файл, доступный по http, и подгружать его в Javascript.
Насколько это опасно, ибо 100% уверенности в полном покрытии всех возможных XSS нет?
Т.е. зная regexp имхо проще подобрать вредоносные входные параметры, чем не зная. Но большинство CMS, форумов и пр. с открытым исходным кодом почему-то не сильно этого боятся.

Comments

[Сергей Савостин]

Может я зря по XSS упомянул. Точнее, надо проверить входные данные на стороне клиента и так же на стороне сервера и выдать сообщение об ошибке, если они не в ожидаемом формате, выходят за пределы допустимых значений и пр. Т.к. параметры проверки оди и те же, нет смысла их дублировать в php и Javascript (можно что-то забыть при исправлениях). Поэтому есть мысль вынести эти параметры в отдельный файл. В любом случае эти параметры будут на клиенте...

Answer 1

[Vampiro]

Не стоит бояться показывать пользователю как вы проверяете входные данные. Их сокрытие никак не повышает безопасность.

Answer 2

[Melkij]

Какая связь между регуляркой и XSS?
На стороне пользователя - валидация логики. На стороне сервера - повторная валидация логики и соответствующее экранирование/преобразование для сохранности и безвредности этих данных. Если в БД сохранение - prepared statements, вывод в HTML - htmlspecialchars, вывод в JSON - json_encode, вывод ещё куда - соответствующие преобразования для этого конкретного формата.

Comments

[Сергей Савостин]

Например валидность e-mail, ссылок, проверка на то, что введено число. Regexp взят в качестве общего случая. Что-то типа параметра options в filter_var

Answer 3

[FanatPHP]

Как и большинство хомячков, афтор путает валидацию данных и форматирование вывода.

Как правильно отмечено постом выше, эти две вещи никак друг с другом не связаны. Вообще. Разве только тем, что если полагаться на валидацию входящих, то можно налететь на инъекцию второго порядка, точно так же, как в случае с SQL.

Поэтому валидацию надо оставить как есть, а форматирование производить в обязательном порядке в автоматическом режиме, средствами шаблонизатора. При этом учитывая среду, в которую данные выводятся. Для SQL, HTML, JS и многих других разных вариантов вывода форматирование должно быть РАЗНЫМ

Comments

[Сергей Савостин]

Прошу прощения за ошибку в терминологии, вопрос не в фильтрации вывода, а в валидации ввода.

[Сергей Савостин]

и за хомячка спасибо