Die ultimative Clean/Secure-Funktion

Ich habe viele Benutzereingaben von $_GET und $_POST… Im Moment schreibe ich immer mysql_real_escape_string($_GET['var'])..

Ich würde gerne wissen, ob Sie eine Funktion machen könnten, die das sichert, entkommt und reinigt $_GET/$_POST Arrays sofort, sodass Sie sich nicht jedes Mal damit befassen müssen, wenn Sie mit Benutzereingaben und dergleichen arbeiten.

Ich dachte an eine Funktion, z cleanMe($input)und darin sollte es tun mysql_real_escape_string, htmlspecialchars, strip_tags, stripslashes (Ich denke, das wäre alles, um es sauber und sicher zu machen) und dann das zurückzugeben $input.

Also ist das möglich? Erstellen einer Funktion, die für alle funktioniert $_GET und $_POSTalso würden Sie nur dies tun:

$_GET  = cleanMe($_GET);
$_POST = cleanMe($_POST);

Also in deinem Code später, wenn du mit zB arbeitest $_GET['blabla'] oder $_POST['haha'] sie werden gesichert, abisoliert und so weiter?

Habe mich ein wenig versucht:

function cleanMe($input) {
   $input = mysql_real_escape_string($input);
   $input = htmlspecialchars($input, ENT_IGNORE, 'utf-8');
   $input = strip_tags($input);
   $input = stripslashes($input);
   return $input;
}

Die Idee einer generischen Sanitärfunktion ist ein kaputtes Konzept.

Es gibt ein für jeden Zweck die richtige Sanierungsmethode. Wenn Sie sie alle wahllos auf einer Zeichenfolge ausführen, wird diese häufig beschädigt. Wenn Sie ein Stück HTML-Code für eine SQL-Abfrage maskieren, wird es für die Verwendung auf einer Webseite beschädigt und umgekehrt. Hygiene sollte angewendet werden kurz bevor Verwendung der Daten:

• bevor Sie eine Datenbankabfrage ausführen. Die richtige Bereinigungsmethode hängt von der verwendeten Bibliothek ab; Sie sind in Wie kann ich SQL-Injection in PHP verhindern aufgeführt?

• htmlspecialchars() für sichere HTML-Ausgabe

• preg_quote() zur Verwendung in einem regulären Ausdruck

• escapeshellarg() / escapeshellcmd() zur Verwendung in einem externen Befehl

• usw. usw.

Die Verwendung einer „Einheitsgröße“-Hygienefunktion ist wie die Verwendung von fünf Arten hochgiftiger Insektizide auf einer Pflanze, die per Definition nur eine Art von Käfern enthalten kann – nur um herauszufinden, dass Ihre Pflanzen von einer sechsten Art befallen sind, auf der keine vorhanden ist der Insektizidarbeit.

Verwenden Sie immer diese eine richtige Methode, idealerweise direkt bevor Sie die Daten an die Funktion übergeben. noch nie Mischen Sie Methoden, es sei denn, Sie müssen.

Es macht keinen Sinn, die Eingabe einfach durch all diese Funktionen zu leiten. All diese Funktionen haben unterschiedliche Bedeutungen. Daten werden nicht “sauberer”, indem mehr Escape-Funktionen aufgerufen werden.

Wenn Sie Benutzereingaben in MySQL speichern möchten, müssen Sie nur verwenden mysql_real_escape_string. Es wird dann vollständig maskiert, um es sicher in der Datenbank zu speichern.

BEARBEITEN

Beachten Sie auch die Probleme, die bei der Verwendung der anderen Funktionen auftreten. Wenn der Client beispielsweise einen Benutzernamen an den Server sendet und der Benutzername ein kaufmännisches Und (&), möchten Sie nicht angerufen haben htmlentities vor dem Speichern in der Datenbank, da dann der Benutzername in der Datenbank enthalten sein wird &.

Du schaust nach filter_input_array(). Ich schlage jedoch vor, dies nur für die Validierung/Bereinigung im Geschäftsstil und nicht für die SQL-Eingabefilterung zu verwenden.

Verwenden Sie zum Schutz vor SQL-Injection parametrisierte Abfragen mit mysql oder PDO.

Das Problem ist, dass etwas Sauberes oder Sicheres für eine Verwendung nicht für eine andere Verwendung gilt: Bereinigung für einen Teil eines Pfads, für einen Teil einer MySQL-Abfrage, für die HTML-Ausgabe (als HTML oder in Javascript oder im Wert einer Eingabe). für XML können verschiedene Dinge erforderlich sein, die widersprechen.

Aber einige globale Dinge können getan werden. Versuchen zu benutzen filter_eingabe um die Eingabe Ihres Benutzers zu erhalten. Und verwenden vorbereitete Erklärungen für Ihre SQL-Abfragen.

Anstelle einer Alleskönner-Funktion können Sie jedoch eine Klasse erstellen, die Ihre Eingaben verwaltet. Sowas in der Art :

class inputManager{
  static function toHTML($field){
    $data = filter_input(INPUT_GET, $field, FILTER_SANITIZE_SPECIAL_CHARS);
    return $data;
  }
  static function toSQL($field, $dbType="mysql"){
    $data = filter_input(INPUT_GET, $field);
    if($dbType == 'mysql'){
      return mysql_real_escape_string($data);
    }
  }
}

Wenn Sie bei solchen Dingen $_POST, $GET, $_REQUEST oder $_COOKIE in Ihrem Code sehen, wissen Sie, dass Sie ihn ändern müssen. Und wenn Sie eines Tages ändern müssen, wie Sie Ihre Eingaben filtern, ändern Sie einfach die Klasse, die Sie erstellt haben.

Darf ich vorschlagen, “mod_security” zu installieren, wenn Sie Apache verwenden und vollen Zugriff auf den Server haben?!
Es hat die meisten meiner Probleme gelöst. Verlassen Sie sich jedoch nicht nur auf eine oder zwei Lösungen, sondern schreiben Sie immer sicheren Code 😉

AKTUALISIEREN
Dieses PHP-IDS gefunden (http://php-ids.org/); scheint gut zu sein 🙂

<?php
function sanitizeString($var)
{
    $var = stripslashes($var);
    $var = strip_tags($var);
    $var = htmlentities($var);
    return $var;
}

function sanitizeMySQL($connection, $var)
{
    $var = $connection->real_escape_string($var);
    $var = sanitizeString($var);
    return $var;
}
?>

Ich habe dieses Pass-Array verwendet oder get , post

function cleanme(&$array)
{ 
 if (isset($array))
 {
     foreach ($array as $key => $value)
     {
          if (is_array($array[$key]))
          {
           secure_array($array[$key]);
          }
          else 
          {
            $array[$key] = strip_tags(mysql_real_escape_string(trim($array[$key])));
          }
     }
 }
}

Verwendungszweck :

cleanme($_GET);   
cleanme($_POST);