【发布时间】:2014-05-13 13:12:23
【问题描述】:
目前我正在升级一个 Web 应用程序,我将从登录用户那里获得大部分输入。输入将包含有效的 html、图像、音频、视频和上传工具到用户定义的路径。然后应用程序将其格式化为漂亮的 ui 并显示给最终用户。这些特权用户可以使用基于 Web 的界面添加/修改/删除内容。
根据基本经验法则:我应该在进入数据库之前转义我的数据,而不是接收来自用户的数据。为此,我计划采取以下安全措施。其中也包括我的问题
- 我正在使用准备好的语句将所有用户输入存储到 DB。我希望这消除了数据库注入威胁。
- 这个措施够吗?还是我需要检查 % 和 _ 符号以及 mysql
LIKE查询?
- 这个措施够吗?还是我需要检查 % 和 _ 符号以及 mysql
- 用户输入(让我们调用输入 A),我不期待任何 HTML/css,我在插入 DB 之前使用
strip_tags和htmlentities。- 这是足够的措施吗?我应该使用更多
- 用户输入(让我们调用输入 B),其中用户可以有 html/css 标签,我在文本上使用
htmlentities然后插入 DB。- 据我所知,在插入数据库之前我不应该使用
htmlentities,但必须像以前的程序员那样使用它。这有什么负面影响吗?
- 据我所知,在插入数据库之前我不应该使用
- 在从 DB 获取之后,在显示输入 A / 输入 B 之前,我没有做任何预处理,假设添加到 DB 的数据应该是干净的。
- 我应该在显示之前处理/清理数据吗?如果是,那么如何?
- 我想将用户输入的 html 标签由浏览器解析而不显示给用户。例如如果用户输入了
<p style='color:red;'>hello</p><p class='noclass'>world</p>,我希望用户只看到 2 个单词而不是实际文本。- 要实现这一点,我如何确保用户不添加恶意脚本,同时浏览器正确存储、获取和解析 html 标签。
请指导当前的方法是否足够/不足够/更少/不正确。
我既不是 php 的 100% 新手,也不是专业人士。我知道有关 php(或者我们可以说是所有 Web 应用程序)安全性的基础知识。因此,如果我在安全方面犯了任何错误,或者不应该做某事,或者应该或多或少做某事,有人可以指导我。
我知道安全的基础知识,但我仍然对此感到困惑
- 在哪个确切点应用哪个确切的安全措施? (例如,在插入数据库之前转义字符串)
- php 中的每一点都有哪些可用的函数? (例如,转义字符串使用准备好的语句)
【问题讨论】:
-
请注意,prepared statements 的第一个目标不是防止 SQL 注入,而是非常有用。
-
@Debflav。是的,我完全同意。它有助于创建独立于数据库的应用程序。但我一直使用 mysql,它也可以帮助我转义数据。
标签: php mysql security web-applications