Ist es sicher, json_decode bei Benutzereingaben aufzurufen?

Ich speichere ein JSON-codiertes Array von Integer-Indizes => Integer-Werte in einem Cookie.

Offensichtlich können Cookies wie jede andere Benutzereingabe leicht manipuliert werden, also hier ist meine Cookie-Getter-Validierung:

if ($_COOKIE['myCookie']) { //if cookie exists
    $myCookie = json_decode($_COOKIE['myCookie'], true);
    if (!is_array($myCookie)) { //in case decoding fails or bad cookie
        $myCookie = array(); //sets it as empty array
    }
} else { //if cookie doesn't exist, uses an empty array instead
    $myCookie = array();
}

Bevor ich dann einen der Werte verwende, überprüfe ich, ob er im Array vorhanden ist, und teste ihn anhand einer Liste von Werten auf der weißen Liste. Dieser Teil scheint ziemlich sicher zu sein, aber ich poste ihn, da er Teil der Validierung ist:

if (!empty($myCookie[$index])) { //checks if index exists and is truthy
    if ($myCookie[$index] !== 1 && $myCookie[$index] !== 2) { //values whitelist
        die('Hacking attempt through cookies exploit.');
    }
    //use the cookie data now
}

Zurück zur Frage, ist es sicher anzurufen json_decode direkt auf dem Keks? Können Benutzer das Cookie manipulieren, um beliebigen Code auszuführen?

Ich habe bisher viele Themen zu SO gelesen und was ich gefunden habe, ist das unserialize() ist unsicher abgeblendet, weil es Konstruktoren aufruft, aber json_decode ist technisch sicher. Ich habe ihre php.net-Seiten durchgelesen, aber diese sprechen die Sicherheit nicht direkt an.

Mein Addon erreicht sehr bald die Live-Beta, also frage ich mich, ob ich anrufe json_decode direkt auf dem Cookie sicher genug ist oder ob ich vor dem Anruf eine Art Validierung durchführen sollte json_decode. Ich könnte ein laufen preg_match auch, aber da ich vor der Verwendung gegen eine Whitelist von Werten teste, sollte es kein Problem geben, es sei denn json_decode führt irgendwie willkürlichen Code aus, was nicht der Fall ist, oder?

ich weiß das json_encode kehrt zurück NULL wenn es kein gültiges JSON ist, aber ich frage mich, ob dies der richtige Ansatz ist oder sollte ich vor dem Anruf eine Art Validierung hinzufügen json_decode?

Verwenden json_decode die Benutzereingabe direkt zu entschlüsseln, hat kein Sicherheitsproblem.

Es ist nur eine Zeichenfolgenanalyse, es wird keine Zeichenfolgenauswertung durchgeführt.

json_decode in PHP ist wie JSON.parse in Javascript, und beide könnten direkt bei der Benutzereingabe verwendet werden, sie sind zum Zeitpunkt der Dekodierung sicher.

Aber nach der Dekodierung müssen Sie die Daten für Ihre Anforderung validieren.

Insofern, als json_decode korrekt implementiert ist, sollte es sicher sein, es einfach ohne zusätzliche Vorverarbeitung zu verwenden (tatsächlich könnte das schlimmer sein, da Sie möglicherweise Fehler in Ihrem Vorprozessor haben).

json_decode schlägt fehl, wenn die Daten nicht im JSON-Format vorliegen, und gibt andernfalls ein nettes Array zurück, mit dem Sie arbeiten können. Wie Itay sagte, wenn jemand dies ausnutzen kann, verdient er es fast, hineinzukommen. json_decode leidet nicht unter dem Risiko von SQL, also würde ich sagen, dass Sie damit einverstanden sind.

Stellen Sie einfach sicher, dass Sie alles (oder eine weiße Liste, wie Sie es bereits sind) bereinigen, bevor Sie es in eine Abfrage integrieren.