论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2009-06-27 13:04 |只看该作者 |倒序浏览

再严密的PHPer也有疏忽的时候，比如输入过滤就是。我一直在想是否可以一劳永逸的解决这个问题，起码可以解决所有SQL注入的问题！最好的办法就是自动对客户端提交的数据进行过滤，然后在程序中使用 $_POST $_GET $_FILES $_COOKIE 之类的变量时，不必考虑过滤，直接就当做安全的值来用该多爽！
于是就有了下面这个东西：

[[i] 本帖最后由 csfrank 于 2009-6-27 13:11 编辑 [/i]]

评分

参与人数 1	可用积分 +3	收起理由
bs	+ 3	好学的人才

查看全部评分

文库|博客

csfrank

白手起家

论坛徽章:: 0

2楼 [报告]

发表于 2009-06-27 13:09 |只看该作者

class Cleaner
{
    //[注意]①先替换双空格再替换单空格既可以保证显示连续空格，又不会出现超长行不能换行的问题；② \r\n 一定要在 \r 和 \n 之前优先被替换
    private static $replace=array("\t"=>'	', "\r\n"=>'<br />', "\n"=>'<br />', "\r"=>'<br />', ' '=>'  ', ' '=>' ', '"'=>'"', '$'=>'$', '&'=>'&', "'"=>''', '<'=>'<', '>'=>'>', '\\'=>'\', '`'=>'`');
    
    private static function clean_str(&$str)
    {
        if(preg_match('/[\\x00-\\x08\\x0B-\\x0C\\x0E-\\x1F\\x7F]/S',$str)) $str=''; //这些非打印字符不应该出现！视为攻击，直接清空！
        else $str=strtr(trim($str),self::$replace); //返回值一定是字符串，至多是 ''
    }

    private static function clean_key(&$arr)
    {
        $keys=array_keys($arr);
        foreach($keys as $k) if(is_string($k))
        {//由于仅处理字符串键,所以键顺序会被打乱[字符串键全跑到整数键后面去了]
            $tmp=$arr[$k];
            unset($arr[$k]);
            self::clean_str($k);
            if(''!==$k) $arr[$k]=$tmp;
        }
    }
    
    private static function clean_REQUEST(&$arr)
    {
        if(is_array($arr))
        {
            self::clean_key($arr);
            $keys=array_keys($arr);
            foreach($keys as $k) self::clean_REQUEST($arr[$k]);
        }
        elseif(is_string($arr)) self::clean_str($arr);
    }

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

csfrank

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2009-06-27 13:10 |只看该作者

接上贴

    private static function clean_ONE_FILE($finfo, &$name, &$type, &$tmp_name, &$error, &$size)
    {//所有传入的引用变量的嵌套结构都是相同的
        if(is_array($name))
        {//虽然键顺序被打乱，但是对应关系依然正确
            self::clean_key($name);
            self::clean_key($type);
            self::clean_key($tmp_name);
            self::clean_key($error);
            self::clean_key($size);
            $keys=array_keys($name);
            foreach($keys as $k) self::clean_ONE_FILE($finfo, $name[$k], $type[$k], $tmp_name[$k], $error[$k], $size[$k]);
        }
        else
        {
            $name=basename($name);
            self::clean_str($name);
            self::clean_str($type);
            if(UPLOAD_ERR_OK==$error)
            {//仅纠正上传成功的文件TYPE
                if($mime=finfo_file($finfo, $tmp_name))
                {//成功获取正确的MIME类型，纠正客户端输入
                    $pos=strpos($mime,';');
                    $type=$pos?substr($mime,0,$pos):$mime;
                }
                else
                {//不能识别MIME，客户端在欺骗
                    $type='MIME_CHEAT';
                    $error=UPLOAD_ERR_PARTIAL;
                }
            }
        }
    }

    private static function clean_FILES()
    {
        self::clean_key($_FILES);
        $keys=array_keys($_FILES);
        $finfo=finfo_open(FILEINFO_MIME);
        foreach($keys as $k) self::clean_ONE_FILE($finfo, $_FILES[$k]['name'], $_FILES[$k]['type'], $_FILES[$k]['tmp_name'], $_FILES[$k]['error'], $_FILES[$k]['size']);
        finfo_close($finfo);
    }
    
    private static $uncleaned=TRUE;
    public static function clean_input()
    {
        if(self::$uncleaned)
        {
            if(!empty($_GET))    self::clean_REQUEST($_GET);
            if(!empty($_POST)) self::clean_REQUEST($_POST);
            if(!empty($_COOKIE))  self::clean_REQUEST($_COOKIE);
            if(!empty($_REQUEST)) self::clean_REQUEST($_REQUEST);
            if(!empty($_SERVER))  self::clean_REQUEST($_SERVER);
            if(!empty($_FILES)) self::clean_FILES();
        }
        self::$uncleaned=FALSE;
    }

}

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

csfrank

白手起家

论坛徽章:: 0

4楼 [报告]

发表于 2009-06-27 13:11 |只看该作者

使用方法很简单：在每个PHP页面的开头处，调用一下

Cleaner::clean_input();

即可。
当然这种过滤实质是一种修改用户数据的做法，缺点也是有，但是在web页面上使用，应该没什么大问题。
此种做法，毛病多多，欢迎拍砖！
更欢迎指出代码的不足之处！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

dz902

小富即安

论坛徽章:: 0

5楼 [报告]

发表于 2009-06-27 14:16 |只看该作者

很多框架就是这样做的，例如 CodeIgniter。

但是一般采取 lazy action 的做法，需要的时候才过滤。类似于 get_input($k)，这样：

一可以保证不处理不需要的东西；
二可以保证如果万一需要原始数据的话可以取得到；
三是除了过滤之外，其实还有验证数据有效性的问题，也可以一起做；
四是可以对不同的过滤/验证，使用不同的方法（例如每种数据库的 escape 是不尽相同的）。

评分

参与人数 1	可用积分 +5	收起理由
bs	+ 5	精采

查看全部评分

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

csfrank

白手起家

论坛徽章:: 0

6楼 [报告]

发表于 2009-06-27 14:36 |只看该作者

回复 #5 dz902 的帖子

get_input($k) 这种还是可能会忘记，这样做的目的就是不要在使用数据的时候想着过滤。
要原始数据也很简单：html_entity_decode 一下就好了
验证数据有效性倒是必须在使用的时候做，这个没办法，毕竟有效规则事先不能知道。
这种过滤对所有的数据库都有效。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

dz902

小富即安

论坛徽章:: 0

7楼 [报告]

发表于 2009-06-27 15:11 |只看该作者

原帖由 csfrank 于 2009-6-27 14:36 发表
get_input($k) 这种还是可能会忘记，这样做的目的就是不要在使用数据的时候想着过滤。
要原始数据也很简单：html_entity_decode 一下就好了
验证数据有效性倒是必须在使用的时候做，这个没办法，毕竟有效规则事先不能知道。
这种过滤对所有的数据库都有效。

get_input($k) 只是原理而已，框架大都不直接 get_input($k) 的办法，但是都是类似原理。我说 get_input($k) 而不是 get_input() 的意思，是说，在用到该变量的时候再进行处理，或者说，只处理自己会用到的变量，是更加高效的办法。另外，「可能会忘记」是不能成为理由的，不应该依靠程序来解决人的思维问题。

另外，如果只是用 html_entity_encode 来做过滤的话，就必须保证处理的数据的格式一定是 HTML，但是现实中可能并不一定，例如：在后台编辑网页模板的时候，难道每次都用 html_entity_decode 过一次吗？难道这个就不会被忘记么？

验证数据的有效性的规则当然是事先知道的，假设 discuz 的论坛，topic.php 有收到两个参数，一个 forum_id 一个 topic_id，这两个参数的规则自然会是：非零整数；又或者，register.php 收到 username，password，confirm_password，email 的数据，这几个参数的规则自然是：username 的长度必须为 3-12 且不能为空，password 和 confirm_password 必须一致，email 必须符合 email 的格式等等。这些都是可以事先知道的。

另外，「对于所有的数据库都有效」是建立在一个基础上的，那就是，所有有关的程序必须的输入性数据必须使用 html_entity_encode 过一次，并且所有的用户提交数据均以 HTML 的方式来储存（如果再用 decode 的话，就失去这个 Cleaner 的意义了）。

关于验证，CodeIgniter 使用这个方法做：