PHP网站中的安全策略：SQL注入、XSS攻击和二阶SQL注入

Question

我是网络安全领域的专家，已经研究了两天。根据 OWSAP，SQL 注入和 XSS 攻击是 Internet 上最常见的攻击，至少每个程序员都必须处理。

所以我理解的保护它们的内容如下（如果我错了，请您更正或添加）：

Use PDO and prepared statements to prevent SQL Injection

PDO 和预处理语句足以防止（一阶）SQL 注入，我们不需要在驱动程序处理时对输入数据进行任何转义。

但是这可能会导致您容易发生二阶 SQL 注入 (see this for more)，其中像 ' OR '1'=' 这样的数据可能会在通过 PDO 和准备好的语句存储后存储到数据库中原始数据并防止这种情况让我觉得首先要转义字符串，因此

use $pdo->quote($string) before passing it to prepared statement for storage

但由于我还想防止 XSS 攻击，我也应该使用htmlentities()（或htmlspecialchars()，在最小情况下）。我应该在输出端执行此操作，但如果我的输出端我可能更喜欢在输入端使用仅针对 HTML

总而言之，我的步骤是

$string ='raw input from user';
$escaped_string=$pdo->quote(htmlentities($string));
$pdo->execute('query to store $escaped_string  into the database');

输出时

只需从数据库中回显存储的字段。

我想知道我的方法是否安全？

Answer 1

如果您的代码容易受到二阶攻击，则说明您没有正确使用准备好的查询，并且根本不了解您在做什么。

在查询中转义数据的目的是消除命令中的数据歧义。在查询中使用参数的目的是从根本上将数据与命令分开。这两者都与数据在数据库中的存储方式完全无关。

每个查询都应该使用参数来表示其中使用的任意数据。如果您不这样做，您可能根本就没有保护，并且毫无疑问会在您的应用程序中出现错误。 始终对任意数据使用参数化查询（并实际使用这些参数），即使它来自您自己的数据库。谁在乎它来自哪里...如果您无法预测数据是什么，那么您就知道它不能直接在查询中使用。

关于 XSS 攻击...如果您正在输出 HTML 页面，您可以通过正确转义数据以在 HTML 上下文中使用来防止其中一些攻击。这允许您在保留文本的 HTML 上下文中使用任意字符串。这会转义 HTML 的数据，这意味着文本不会被解析为 HTML 标记。您应该只在输出时执行此转义...而不是在此之前，否则您会提前破坏数据并使其无法用于其他目的。

Answer 2

但这可能会导致您容易发生二阶 SQL 注入

这实际上可能不是。没有像“二阶 SQL 注入”这样的东西。只有 SQL 注入。为了防止它，您必须使用参数化查询。就这么简单。

总而言之，您的步骤是

$string ='whatever string';
$pdo->prepare('any query that uses ? placeholder for any data');
$pdo->execute([$string]);

在输出时，让您的 模板 默认对任何值进行 html 转义，或者在明确告知时应用任何其他格式 - 即，为 html 格式的文本设置原始格式。

Answer 3

如果您无法避免从用户那里获取原始输入，这是标准程序，如果可能的话，请避免使用来自用户的原始输入。例如：

最好对这些类型的事情使用存储过程。

<?php
  if(isset($_POST['submit'])) {
      if($_GET['sort'] == 'alphad') {
          $sort = 'alphad'; //not = $_GET['sort']
          //Your query
      }
  }
?>