现在大部分的网站数据提交用到了Form表单,而如果程序员在未对表单提交的数据进行验证时,会有那些危害性呢?
本文案例为Form表单的Get方式提交(Post提交也是同样的效果),分为安全等级为低等,中等,高等三个层次进行说明。
1:安全等级-低等(未进行任何字符处理)
例如:
<form action="<?php echo($_SERVER["SCRIPT_NAME"]);?>" method="GET">
<p><label for="firstname">First name:</label><br />
<input type="text" id="firstname" name="firstname"></p>
<p><label for="lastname">Last name:</label><br />
<input type="text" id="lastname" name="lastname"></p>
<button type="submit" name="form" value="submit">Go</button>
</form>对应的PHP展示代码为:
<?php
if(isset($_GET["firstname"]) && isset($_GET["lastname"]))
{
$firstname = $_GET["firstname"];
$lastname = $_GET["lastname"];
if($firstname == "" or $lastname == "")
{
echo "<font color=\"red\">请输入必填的字段...</font>";
}
else
{
echo "Welcome " . $firstname . " --- " . $lastname;
}
}
?>注意:在表单提交没有对用户输入的数据进行处理,并且在echo 的时候没有处理就打印到页面,那如果用户在文本框中输入类似代码:
<a href=http://www.baidu.com>Click Me</a>那展示到页面的结果将会是 一个跳转到百度的Click Me链接,这种常见的入侵手段危害有多大呢?
参考:论坛发帖,我在一些重要的文字中加入这种代码,编写一段获取浏览器Cookie的代码等等,是不是就可以获取到你浏览器当中一些隐私信息呢?
2:安全等级-中等( 初级的字符处理 )
对输入参数进行urldecode,并将特殊字符处理
urldecode($firstname)
urldecode($lastname)
str_replace("<", "<", $input);
str_replace(">", ">", $input);如果在展示的时候按上面的处理方式处理了用户输入的值,那用户输入
<a href=http://www.baidu.com>Click Me</a>在页面展示,还是
<a href=http://www.baidu.com>Click Me</a>但是,我把对应的代码转成ASCII编码格式呢?
<a href=http://www.baidu.com>Click Me</a>%3ca+href%3dhttp%3a%2f%2fwww.baidu.com%3eClick+Me%3c%2fa%3e结果发现,在页面上输出的结果变成了,跳转到百度的链接,这就等于用户输入绕过了我的编码防范…
3:安全等级-高等(htmlspecialchars)
参考:https://www.zhihu.com/question/27646993
4:解决方案-MYSQLi
$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// do something with $row
}在采用方案3中的编码处理后,使用MYSQLi 方式来处理对数据库的操作是较为安全的防御措施。但是,网络攻防无绝对,世界上并没有永远攻不破的系统,关键是要为此付出多少代价而已。
警告:本系列文章所有涉及到的技术均不可用于非法用途,仅供学习/安全防范参考,如有违背,后果自负!
2786
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
