इससे पहले आज वेब ऐप्स में इनपुट सत्यापन रणनीतियों के बारे में एक सवाल पूछा गया था ।
लेखन के समय शीर्ष उत्तर, PHPकेवल उपयोग करने में htmlspecialcharsऔर सुझाव देता है mysql_real_escape_string।
मेरा सवाल है: क्या यह हमेशा पर्याप्त है? क्या और भी बहुत कुछ हमें पता होना चाहिए? ये कार्य कहां-कहां टूटते हैं?
जवाबों:
जब डेटाबेस प्रश्नों की बात आती है, तो हमेशा तैयार किए गए प्रश्नों का उपयोग करें। mysqliऔर PDOपुस्तकालयों इस समर्थन करते हैं। यह इस तरह के भागने के कार्यों का उपयोग करने से अधिक सुरक्षित है mysql_real_escape_string।
हाँ, mysql_real_escape_stringप्रभावी रूप से सिर्फ एक स्ट्रिंग भागने का कार्य है। यह कोई जादू की गोली नहीं है। यह सब करना खतरनाक पात्रों से बच जाएगा ताकि वे एक ही क्वेरी स्ट्रिंग में उपयोग करने के लिए सुरक्षित हो सकें। हालांकि, यदि आप पहले से अपने इनपुट्स को सैनिटाइज नहीं करते हैं, तो आप कुछ अटैक वैक्टर के लिए कमजोर होंगे।
निम्नलिखित एसक्यूएल की कल्पना करें:
$result = "SELECT fields FROM table WHERE id = ".mysql_real_escape_string($_POST['id']);आपको यह देखने में सक्षम होना चाहिए कि यह शोषण की चपेट में है।
कल्पना कीजिए कि idपैरामीटर में आम अटैक वेक्टर है:
1 OR 1=1सांकेतिक शब्दों में बदलना करने के लिए कोई जोखिम भरा चार्ट नहीं है, इसलिए यह सीधे भागने वाले फिल्टर से होकर गुजरेगा। हमें छोड़कर:
SELECT fields FROM table WHERE id= 1 OR 1=1जो एक प्यारा SQL इंजेक्शन वेक्टर है और हमलावर को सभी पंक्तियों को वापस करने की अनुमति देगा। या
1 or is_admin=1 order by id limit 1जो पैदा करता है
SELECT fields FROM table WHERE id=1 or is_admin=1 order by id limit 1जो हमलावर को इस पूरी तरह से काल्पनिक उदाहरण में पहले प्रशासक के विवरण को वापस करने की अनुमति देता है।
जब भी ये कार्य उपयोगी होते हैं, इनका उपयोग सावधानी से किया जाना चाहिए। आपको यह सुनिश्चित करने की आवश्यकता है कि सभी वेब इनपुट कुछ हद तक मान्य हैं। इस मामले में, हम देखते हैं कि हमारा शोषण किया जा सकता है क्योंकि हमने जाँच नहीं की कि एक चर हम एक संख्या के रूप में उपयोग कर रहे थे, वास्तव में संख्यात्मक था। PHP में आपको व्यापक रूप से फ़ंक्शन के एक सेट का उपयोग करना चाहिए ताकि यह जांचा जा सके कि इनपुट पूर्णांक, फ़्लोट, अल्फ़ान्यूमेरिक आदि हैं, लेकिन जब यह एसक्यूएल की बात आती है, तो तैयार किए गए स्टेटमेंट के अधिकांश मूल्य को ध्यान में रखा जाता है। उपरोक्त कोड सुरक्षित होता अगर यह एक तैयार स्टेटमेंट होता क्योंकि डेटाबेस फ़ंक्शन यह जानते होंगे कि 1 OR 1=1यह एक मान्य शाब्दिक नहीं है।
के लिए के रूप में htmlspecialchars()। वह अपनी खुद की एक खान है।
PHP में एक वास्तविक समस्या यह है कि इसमें अलग-अलग HTML से संबंधित भागने वाले कार्यों का एक पूरा चयन है, और वास्तव में कोई स्पष्ट मार्गदर्शन नहीं है कि क्या कार्य करता है।
सबसे पहले, यदि आप एक HTML टैग के अंदर हैं, तो आप वास्तविक परेशानी में हैं। की ओर देखें
echo '<img src= "' . htmlspecialchars($_GET['imagesrc']) . '" />';हम पहले से ही एक HTML टैग के अंदर हैं, इसलिए हमें कुछ भी खतरनाक करने के लिए <या> की आवश्यकता नहीं है। हमारा हमला वेक्टर सिर्फ हो सकता हैjavascript:alert(document.cookie)
अब परिणामी HTML जैसा दिखता है
<img src= "javascript:alert(document.cookie)" />हमले के माध्यम से सीधे हो जाता है।
ये और ख़राब हो जाता है। क्यों? क्योंकि htmlspecialchars(जब इस तरह कहा जाता है) केवल दोहरे उद्धरण चिह्नों और एकल नहीं को कूटबद्ध करता है। तो अगर हमारे पास था
echo "<img src= '" . htmlspecialchars($_GET['imagesrc']) . ". />";हमारा दुष्ट हमलावर अब पूरे नए मापदंडों को इंजेक्ट कर सकता है
pic.png' onclick='location.href=xxx' onmouseover='...हमें देता है
<img src='pic.png' onclick='location.href=xxx' onmouseover='...' />इन मामलों में, कोई जादू की गोली नहीं है, आपको बस इनपुट को खुद को तैयार करना होगा। यदि आप कोशिश करते हैं और बुरे पात्रों को छानते हैं तो आप निश्चित रूप से असफल होंगे। एक श्वेतसूची दृष्टिकोण लें और केवल उन वर्णों के माध्यम से जाने दें जो अच्छे हैं। को देखो XSS नकल पुस्तिकाओं कैसे विविध वैक्टर हो सकता है पर उदाहरण के लिए
यहां तक कि अगर आप htmlspecialchars($string)HTML टैग के बाहर का उपयोग करते हैं, तो भी आप मल्टी-बाइट चारसेट अटैक वैक्टर की चपेट में हैं।
सबसे प्रभावी आप mb_convert_encoding और htmlentities के संयोजन का उपयोग इस प्रकार कर सकते हैं।
$str = mb_convert_encoding($str, 'UTF-8', 'UTF-8');
$str = htmlentities($str, ENT_QUOTES, 'UTF-8');यहां तक कि यह IE6 को कमजोर बनाता है, क्योंकि यह जिस तरह से UTF को संभालता है। हालाँकि, आप IE6 उपयोग बंद होने तक ISO-8859-1 जैसे अधिक सीमित एन्कोडिंग पर वापस गिर सकते हैं।
मल्टीबीट समस्याओं के लिए अधिक गहराई से अध्ययन के लिए, https://stackoverflow.com/a/12118602/1820 देखें
$result = "SELECT fields FROM table WHERE id = '".mysql_real_escape_string($_POST['id'])."'";2. दूसरे मामले में (URL युक्त विशेषता), इसका कोई फायदा नहीं है htmlspecialchars; इन मामलों में, आपको URL एन्कोडिंग योजना, जैसे, का उपयोग करके इनपुट को सांकेतिक शब्दों में बदलना चाहिए rawurlencode। इस तरह, एक उपयोगकर्ता javascript:एट अल नहीं डाल सकता है ।
Take a whitelist approach and only let through the chars which are good.एक ब्लैकलिस्ट हमेशा कुछ याद करेगा। +1
चेकिसॉफ्ट के उत्कृष्ट उत्तर के अलावा:
HTML इंजेक्शन (जैसे क्रॉस साइट स्क्रिप्टिंग) को रोकने के लिए वास्तव में एक चांदी की गोली नहीं है, लेकिन यदि आप HTML का उत्पादन करने के लिए लाइब्रेरी या टेम्प्लेटिंग सिस्टम का उपयोग कर रहे हैं तो आप इसे आसानी से प्राप्त कर सकते हैं। इसके लिए प्रलेखन पढ़ें कि कैसे चीजों को उचित तरीके से बचाना है।
HTML में, संदर्भ के आधार पर चीजों को अलग-अलग तरीके से बचाना होगा। यह विशेष रूप से स्ट्रैस को जावास्क्रिप्ट में रखा जा रहा है।
मैं उपरोक्त पोस्टों से निश्चित रूप से सहमत हूँ, लेकिन मेरे पास चेकिसॉफ्ट के उत्तर में जोड़ने के लिए एक छोटी सी बात है, विशेष रूप से:
जब डेटाबेस प्रश्नों की बात आती है, तो हमेशा तैयार किए गए प्रश्नों का उपयोग करें। Mysqli और PDO लाइब्रेरी इसका समर्थन करती हैं। यह mysql_real_escape_string जैसे भागने वाले कार्यों का उपयोग करने की तुलना में असीम रूप से सुरक्षित है।
हां, mysql_real_escape_string प्रभावी रूप से सिर्फ एक स्ट्रिंग एस्केप फ़ंक्शन है। यह कोई जादू की गोली नहीं है। यह सब करना खतरनाक पात्रों से बच जाएगा ताकि वे एक ही क्वेरी स्ट्रिंग में उपयोग करने के लिए सुरक्षित हो सकें। हालांकि, यदि आप पहले से अपने इनपुट्स को सैनिटाइज नहीं करते हैं, तो आप कुछ अटैक वैक्टर के लिए कमजोर होंगे।
निम्नलिखित एसक्यूएल की कल्पना करें:
$ परिणाम = "तालिका से फ़ील्ड का चयन करें जहां आईडी =" .mysql_real_escape_string ($ _ POST ['आईडी']);
आपको यह देखने में सक्षम होना चाहिए कि यह शोषण की चपेट में है। आईडी पैरामीटर की कल्पना करें जिसमें आम अटैक वेक्टर हो:
1 या 1 = 1
सांकेतिक शब्दों में बदलना करने के लिए कोई जोखिम भरा चार्ट नहीं है, इसलिए यह सीधे भागने वाले फिल्टर से होकर गुजरेगा। हमें छोड़कर:
तालिका से फ़ील्ड का चयन करें जहां आईडी = 1 या 1 = 1 है
मैंने एक त्वरित छोटे फ़ंक्शन को कोडित किया जो मैंने अपने डेटाबेस वर्ग में रखा था जो कि एक नंबर से कुछ भी बाहर निकाल देगा। यह preg_replace का उपयोग करता है, इसलिए कुछ अधिक अनुकूलित फ़ंक्शन होने की संभावना है, लेकिन यह एक चुटकी में काम करता है ...
function Numbers($input) {
$input = preg_replace("/[^0-9]/","", $input);
if($input == '') $input = 0;
return $input;
}इसलिए उपयोग करने के बजाय
$ परिणाम = "तालिका से फ़ील्ड का चयन करें जहां आईडी =" .mysqlrealescapestestring ("1 या 1 = 1");
मै इस्तेमाल करूंगा
$ परिणाम = "तालिका से फ़ील्ड का चयन करें जहां आईडी ="। नट ("1 या 1 = 1");
और यह सुरक्षित रूप से क्वेरी चलाएगा
तालिका से फ़ील्ड का चयन करें जहां आईडी = 111 है
ज़रूर, कि बस इसे सही पंक्ति प्रदर्शित करने से रोका जाए, लेकिन मुझे नहीं लगता कि जो कोई भी आपकी साइट में sql को इंजेक्ट करने की कोशिश कर रहा है, उसके लिए यह एक बड़ा मुद्दा है;)
return preg_match('/^[0-9]+$/',$input) ? $input : 0;
इस पहेली का एक महत्वपूर्ण हिस्सा संदर्भ है। आईडी के रूप में "1 या 1 = 1" भेजने वाला कोई व्यक्ति समस्या नहीं है यदि आप अपनी क्वेरी में हर तर्क को उद्धृत करते हैं:
SELECT fields FROM table WHERE id='".mysql_real_escape_string($_GET['id'])."'"जिसके परिणामस्वरूप:
SELECT fields FROM table WHERE id='1 OR 1=1'जो अप्रभावी है। चूंकि आप स्ट्रिंग से बच रहे हैं, इनपुट स्ट्रिंग संदर्भ से बाहर नहीं जा सकता। मैंने MySQL के संस्करण 5.0.45 के रूप में इसका परीक्षण किया है, और पूर्णांक कॉलम के लिए एक स्ट्रिंग संदर्भ का उपयोग करने से कोई समस्या नहीं होती है।
$result = "SELECT fields FROM table WHERE id = ".(INT) $_GET['id'];64 बिट सिस्टम पर भी बेहतर काम करता है। हालांकि बड़ी संख्या को संबोधित करने पर अपने सिस्टम की सीमाओं से सावधान रहें, लेकिन डेटाबेस आईडी के लिए यह समय के 99% महान काम करता है।
आपको अपने मानों को साफ करने के लिए एकल फ़ंक्शन / पद्धति का उपयोग करना चाहिए। भले ही यह फ़ंक्शन mysql_real_escape_string () के लिए सिर्फ एक आवरण है। क्यों? क्योंकि एक दिन जब सफाई डेटा के अपने पसंदीदा तरीके के लिए एक शोषण पाया जाता है, तो आपको सिस्टम-वाइड खोजने और बदलने के बजाय केवल इसे एक स्थान पर अपडेट करना होगा।
क्यों, ओह क्यों, क्या आप अपने sql स्टेटमेंट में यूजर इनपुट के आसपास उद्धरण शामिल नहीं करेंगे ? काफी मूर्खतापूर्ण लगता है कि नहीं! अपने sql स्टेटमेंट में उद्धरण सहित "1 या 1 = 1" एक निरर्थक प्रयास होगा, नहीं?
तो अब, आप कहेंगे, "क्या होगा यदि उपयोगकर्ता इनपुट में एक उद्धरण (या दोहरे उद्धरण) शामिल है?"
ठीक है, उस के लिए आसान तय: बस उपयोगकर्ता input'd उद्धरण हटा दें। उदाहरण के लिए: input =~ s/'//g;। अब, यह मुझे वैसे भी लगता है, कि उपयोगकर्ता इनपुट सुरक्षित होगा ...