清理 $_GET 参数以避免 XSS 和其他攻击答案

【问题标题】：Sanitize $_GET parameters to avoid XSS and other attacks清理 $_GET 参数以避免 XSS 和其他攻击
【发布时间】：2010-12-07 22:40:52
【问题描述】：

我在 php 中有一个网站，它确实 include() 将内容嵌入到模板中。要加载的页面在 get 参数中给出，我将“.php”添加到参数的末尾并包含该页面。我需要做一些安全检查以避免 XSS 或其他东西（不是 mysql 注入，因为我们没有数据库）。我想出的是以下内容。

$page = $_GET['page'];

if(!strpos(strtolower($page), 'http') || !strpos($page, '/') ||
    !strpos($page, '\\') || !strpos($page, '..')) {
        //append ".php" to $page and include the page

我还能做些什么来进一步清理我的输入吗？

【问题讨论】：

不要像那样检查 strpos() 的结果 - 如果匹配在字符串的开头，它将返回零，这将评估为 false
@Tom，接受的解决方案也让我避免了这种情况，无论如何谢谢，我会记住你对未来代码的建议。
另见：stackoverflow.com/a/15825812/59087

标签： php sanitization

【解决方案1】：

$page = preg_replace('/[^-a-zA-Z0-9_]/', '', $_GET['page']);

这可能是清理此内容的最快方法，这将获取任何内容并确保它仅包含字母、数字、下划线或破折号。

【讨论】：

仍然可以使用十六进制代码进行攻击：参见 stackoverflow.com/questions/134099/… 和 stackoverflow.com/questions/60174/…
两个链接都是关于mysql的，这个问题不是关于sql注入的

【解决方案2】：

不要“清理” - 攻击特定于数据的使用，而不是源。在输出值时转义值。另请参阅我对What’s the best method for sanitizing user input with PHP?的回答

【讨论】：

我读过它，但我认为它不适合我正在开发的网站。

【解决方案3】：

在源代码中定义一个明确的页面列表，然后使用它来检查输入。是的，这是更多的工作，但它非常清楚什么是允许的，什么是不允许的。例如：

$AVAILABLE_PAGES = array('home', 'news',  ...);
$AVAILABLE_PAGES = array_fill_keys($AVAILABLE_PAGES, 1);

$page = $_GET['page'];
if (!$AVAILABLE_PAGES[$page]) {
   header("HTTP/1.0 404 Not Found");
   die('Page not found.');
}

include "pages/$page.php";

【讨论】：