PHP डेटा को फ़िल्टर करना और मान्य करना। सामान्य गलतियाँ

सामग्री मुख्य रूप से शुरुआत वेब प्रोग्रामर के लिए है।

परिचय।

अक्सर मुझे उन ग्राहकों से संपर्क किया जाता है जिन्होंने नौसिखिया वेब प्रोग्रामर द्वारा लिखे गए स्वयं-लिखित सीएमएस या मॉड्यूल स्थापित किए हैं, जो यह नहीं समझते हैं कि डेटा की रक्षा के लिए क्या आवश्यक है और अक्सर यह सोचने के बिना कि वे कैसे काम करते हैं और उनके साथ वास्तव में क्या करने की आवश्यकता है, फ़िल्टरिंग फ़ंक्शन की प्रतिलिपि बनाएँ।

यहाँ मैं PHP स्क्रिप्ट में डेटा को फ़िल्टर करते समय सामान्य गलतियों का यथासंभव वर्णन करने का प्रयास करूँगा और डेटा को ठीक से फ़िल्टर करने के सरल तरीके बताऊंगा।

डेटा फ़िल्टरिंग के बारे में नेटवर्क पर कई लेख हैं, लेकिन वे पूर्ण और बिना विस्तृत उदाहरण के नहीं हैं।

डीब्रीफिंग।

फ़िल्टर करना। त्रुटि संख्या १

संख्यात्मक चर के लिए, निम्नलिखित जांच का उपयोग किया जाता है:

$number = $_GET['input_number']; if (intval($number)) { ...  SQL  ... } 

यह SQL इंजेक्शन के लिए क्यों होता है? तथ्य यह है कि उपयोगकर्ता चर input_number में मान निर्दिष्ट कर सकता है:

 1'+UNION+SELECT 

ऐसे मामलों में, चेक सफलतापूर्वक पारित किया जाएगा, क्योंकि intval फ़ंक्शन को वैरिएबल का पूर्णांक मान मिलता है, अर्थात 1, लेकिन $ नम्बर चर में कुछ भी नहीं बदला है, इसलिए सभी दुर्भावनापूर्ण कोड SQL क्वेरी में स्थानांतरित हो जाएंगे।
उचित फ़िल्टरिंग:

 $number = intval($_GET['input_number']); if ($number) { ...  SQL  ... } 

बेशक, स्थिति बदल सकती है, उदाहरण के लिए, यदि आपको केवल एक निश्चित सीमा प्राप्त करने की आवश्यकता है:

 if ($number >= 32 AND $number <= 65) 

यदि आप संख्यात्मक मानों के साथ चेकबॉक्स या मल्टीसेपल्स का उपयोग करते हैं, तो निम्नलिखित चेक करें:

 $checkbox_arr = array_map('intval', $_POST['checkbox']); 

array_map
इसके अलावा मैं फॉर्म में फ़िल्टरिंग से मिलता हूं:

 $number = htmlspecialchars(intval($_GET['input_number'])); 

htmlspecialchars
या:

 $number = mysql_escape_string(intval($_GET['input_number'])); 

mysql_escape_string

यह एक मुस्कान के अलावा कुछ भी नहीं पैदा कर सकता है :)

फ़िल्टर करना। गलती # 2।

स्ट्रिंग चर के लिए, निम्नलिखित फ़िल्टरिंग का उपयोग किया जाता है:

 $input_text = addslashes($_GET['input_text']); 

समारोह अतिरिक्त विशेष बच निकलता है। वर्ण, लेकिन यह डेटाबेस के एन्कोडिंग को ध्यान में नहीं रखता है और बाईपास को फ़िल्टर करना संभव है। मैं इस भेद्यता का वर्णन करने वाले लेखक के पाठ की नकल नहीं करूंगा और मैं सिर्फ क्रिस शिफलेट लिंक (आप RuNet में अनुवाद की खोज कर सकते हैं) दे देंगे।

Mysql_escape_string या mysql_real_escape_string फ़ंक्शन का उपयोग करें, उदाहरण:

 $input_text = mysql_escape_string($_GET['input_text']); 

यदि आप HTML टैग्स के होने की उम्मीद नहीं करते हैं, तो यह फ़िल्टर करना सबसे अच्छा है:

 $input_text = strip_tags($_GET['input_text']); $input_text = htmlspecialchars($input_text); $input_text = mysql_escape_string($input_text); 

strip_tags - html टैग हटाता है।
htmlspecialchars - विशेष को रूपांतरित करता है। HTML इकाई में वर्ण।
तो आप अपने आप को SQL इंजेक्शन के अलावा, XSS हमलों से बचाते हैं।
यदि आपको html टैग की आवश्यकता है, लेकिन केवल स्रोत कोड के आउटपुट के लिए, तो बस उपयोग करें:

 $input_text = htmlspecialchars($_GET['input_text']); $input_text = mysql_escape_string($input_text); 

यदि यह आपके लिए महत्वपूर्ण है कि चर का मान खाली नहीं है, तो ट्रिम फ़ंक्शन का उपयोग करें, उदाहरण:

 $input_text = trim($_GET['input_text']); $input_text = htmlspecialchars($input_text); $input_text = mysql_escape_string($input_text); 

फ़िल्टर करना। गलती # ३।

यह डेटाबेस में खोज की चिंता करता है।
संख्याओं द्वारा खोजने के लिए, पहली त्रुटि में वर्णित फ़िल्टरिंग का उपयोग करें।
पाठ द्वारा खोजने के लिए, दूसरी त्रुटि में वर्णित फ़िल्टरिंग का उपयोग करें, लेकिन कैविट्स के साथ।
उपयोगकर्ता को एक तार्किक त्रुटि करने में सक्षम नहीं होने के लिए, विशेष को हटाना या स्क्रीन करना आवश्यक है। SQL वर्ण।
बिना जोड़ के उदाहरण। लाइन प्रसंस्करण:

 $input_text = htmlspecialchars($_GET['input_text']); // : "%" $input_text = mysql_escape_string($input_text); 

आउटपुट पर, हमें फ़ॉर्म का अनुरोध मिलता है:

 ... WHERE text_row LIKE '%".$input_text."%' ... // WHERE text_row LIKE '%%%' 

इससे आधार पर लोड में काफी वृद्धि होगी।
मेरी स्क्रिप्ट में, मैं एक फ़ंक्शन का उपयोग करता हूं जो उन वर्णों को हटा देता है जो मुझे खोज से नहीं चाहिए:

 function strip_data($text) { $quotes = array ("\x27", "\x22", "\x60", "\t", "\n", "\r", "*", "%", "<", ">", "?", "!" ); $goodquotes = array ("-", "+", "#" ); $repquotes = array ("\-", "\+", "\#" ); $text = trim( strip_tags( $text ) ); $text = str_replace( $quotes, '', $text ); $text = str_replace( $goodquotes, $repquotes, $text ); $text = ereg_replace(" +", " ", $text); return $text; } 

बेशक, उपरोक्त सभी चरित्र खतरनाक नहीं हैं, लेकिन मेरे मामले में उनकी आवश्यकता नहीं है, इसलिए मैं खोज और प्रतिस्थापित करता हूं।
फ़िल्टरिंग उदाहरण:

 $input_text = strip_data($_GET['input_text']); $input_text = htmlspecialchars($input_text); $input_text = mysql_escape_string($input_text); 

मैं आपको खोज में वर्णों की संख्या को सीमित करने की सलाह भी देता हूं, कम से कम 3 से कम नहीं, क्योंकि यदि आपके पास डेटाबेस में बड़ी संख्या में रिकॉर्ड हैं, तो 1-2 वर्णों की खोज से डेटाबेस पर लोड बढ़ जाएगा।

फ़िल्टर करना। गलती नंबर 4।

$ _COOKIE चर में मान फ़िल्टर नहीं किए गए हैं। कुछ लोग सोचते हैं कि चूंकि इस चर को एक फॉर्म के माध्यम से पारित नहीं किया जा सकता है, यह सुरक्षा की गारंटी है।
साइट की कुकीज़ को संपादित करके किसी भी ब्राउज़र के साथ नकली यह चर बहुत आसान है।
उदाहरण के लिए, एक प्रसिद्ध सीएमएस में इस्तेमाल किए गए साइट टेम्पलेट का एक चेक था:

 if (@is_dir ( MAIN_DIR . '/template/' . $_COOKIE['skin'] )){ $config['skin'] = $_COOKIE['skin']; } $tpl->dir = MAIN_DIR . '/template/' . $config['skin']; 

इस स्थिति में, आप चर $ _COOKIE ['त्वचा'] के मूल्य को बदल सकते हैं और एक त्रुटि का कारण बन सकते हैं, जिसके परिणामस्वरूप आपको साइट फ़ोल्डर में पूर्ण पथ दिखाई देगा।
यदि आप डेटाबेस को बचाने के लिए कुकीज़ के मूल्य का उपयोग करते हैं, तो उपरोक्त फ़िल्टरिंग में से किसी एक का उपयोग करें, चर $ _SERVER पर भी लागू होता है।

फ़िल्टर करना। त्रुटि संख्या ५।

Register_globals निर्देश शामिल है। यदि यह चालू है तो इसे बंद करना सुनिश्चित करें।
कुछ स्थितियों में, आप एक चर के मान को पारित कर सकते हैं जो पारित नहीं होना चाहिए, उदाहरण के लिए, यदि साइट पर समूह हैं, तो समूह 2 में $ समूह चर खाली होना चाहिए या 0 के बराबर होना चाहिए, लेकिन कोड जोड़कर फ़ॉर्म को केवल नकली करें:

 <input type="text" name="group" value="5" /> 

एक PHP स्क्रिप्ट में, $ समूह चर 5 होगा यदि इसे स्क्रिप्ट में डिफ़ॉल्ट मान के साथ घोषित नहीं किया गया था।

फ़िल्टर करना। गलती नंबर 6।

डाउनलोड की गई फ़ाइलों की जाँच करें।
निम्नलिखित मदों की जाँच करें:

1. फ़ाइल एक्सटेंशन एक्सटेंशन के साथ फ़ाइलों को डाउनलोड करने पर प्रतिबंध लगाने की सलाह दी जाती है: php, php3, php4, php5, आदि।
2. क्या फ़ाइल सर्वर पर अपलोड की गई है move_uploaded_file
3. फ़ाइल का आकार

की जाँच करें। त्रुटि संख्या 1।

AJAX के अनुरोध के लिए मामलों का सामना करना पड़ा (उदाहरण के लिए: प्रतिष्ठा में वृद्धि) उपयोगकर्ता नाम या इसकी आईडी (जो प्रतिष्ठा प्राप्त करता है) को स्थानांतरित कर दिया गया था, लेकिन PHP में ही ऐसे उपयोगकर्ता के अस्तित्व की कोई जांच नहीं की गई थी।
उदाहरण के लिए:

 $user_id = intval($_REQUEST['user_id']); ... INSERT INTO REPLOG SET uid = '{$user_id}', plus = '1' ... ... UPDATE Users SET reputation = reputation+1 WHERE user_id = '{$user_id}' ... 

यह पता चला है कि हम डेटाबेस में एक रिकॉर्ड बना रहे हैं, जो हमारे लिए पूरी तरह से बेकार है।

की जाँच करें। गलती # 2।

जब डेटा के साथ विभिन्न प्रकार की क्रियाएं (जोड़ना, संपादित करना, हटाना) करते हैं, तो इस फ़ंक्शन और अतिरिक्त सुविधाओं तक पहुंचने के लिए उपयोगकर्ता के अधिकारों की जांच करना न भूलें (HTML टैग या सत्यापन के बिना सामग्री प्रकाशित करने की क्षमता)।

लंबे समय तक मैंने एक मंच मॉड्यूल में एक समान त्रुटि तय की जब कोई उपयोगकर्ता प्रशासन संदेश को संपादित कर सकता था।

की जाँच करें। गलती # ३।

यदि कई php फ़ाइलों का उपयोग एक साधारण जाँच करते हैं।
Index.php फ़ाइल में (या किसी अन्य मुख्य फ़ाइल में) अन्य php फ़ाइलों को जोड़ने से पहले इस पंक्ति को लिखें:

 define ( 'READFILE', true ); 

अन्य php फाइलों की शुरुआत में लिखते हैं:

 if (! defined ( 'READFILE' )) { exit ( "Error, wrong way to file.<br><a href=\"/\">Go to main</a>." ); } 

इसलिए आप फ़ाइलों तक पहुंच को प्रतिबंधित करते हैं।

की जाँच करें। गलती नंबर 4।

उपयोगकर्ताओं के लिए हैश का उपयोग करें। यह XSS द्वारा किसी फ़ंक्शन को रोकने में मदद करेगा।
उपयोगकर्ताओं के लिए हैश बनाने का एक उदाहरण:

 $secret_key = md5( strtolower( "http://site.ru/" . $member['name'] . sha1($password) . date( "Ymd" ) ) ); // $secret_key -    

अगला, सभी महत्वपूर्ण रूपों में वर्तमान उपयोगकर्ता हैश के मूल्य के साथ इनपुट को प्रतिस्थापित करें:

 <input type="hidden" name="secret_key" value="$secret_key" /> 

स्क्रिप्ट की जाँच के निष्पादन के दौरान:

 if ($_POST['secret_key'] !== $secret_key) { exit ('Error: secret_key!'); } 

की जाँच करें। त्रुटि संख्या ५।

SQL त्रुटियों को आउटपुट करते समय, सूचना तक पहुंच पर एक सरल प्रतिबंध लगाएं। उदाहरण के लिए, GET चर के लिए एक पासवर्ड सेट करें:

 if ($_GET['passsql'] == "password") { ...  SQL  ... } else { ...    ,   ... } 

यह हैकर से जानकारी छिपाएगा जो साइट को हैक करने में उसकी मदद कर सकता है।

की जाँच करें। त्रुटि संख्या ५।

कोशिश करें कि बाहर से फ़ाइल नाम प्राप्त करके फ़ाइलों को शामिल न करें।
उदाहरण के लिए:

 if (isset($_GET['file_name'])) { include $_GET['file_name'] .'.php'; } 

स्विच स्विच का उपयोग करें:

 switch($_GET['file_name']) { case 'file_1': include 'file_1.php'; break; default: include 'file_0.php'; break; } 

ऐसे मामलों में, आप उन फ़ाइलों के अनुलग्नक को रोकेंगे जो आपके द्वारा प्रदान नहीं किए गए थे।

परिषद।

अधिक विश्वसनीयता के लिए, डेटा को फ़िल्टर करने के लिए तैयार-किए गए और लोकप्रिय वर्गों में से एक का उपयोग करें, ताकि किसी भी दुर्भावनापूर्ण वर्ण / डेटा को स्वयं याद न करें। इन वर्गों में भी अक्सर डेटा फ़िल्टर चुनने का विकल्प होता है।

UPD: पोस्ट को ठीक किया। टिप्पणियों में होने वाले फ़ंक्शंस और वैरिएबल्स के बारे में सभी टिप्स ले गए।