web应用的输入处理
web应用中的输入既由HTTP请求传入的信息,如GET,POST,Cookie等,web应用接收到这些值所作的处理。
输入处理就是只对输入值做如下处理:
- 检验字符编码的有效性
- 必要时转换字符编码(指http消息与程序内部使用的字符编码不一致的情况下进行的处理)
- 检验参数字符串的有效性(在页面显示处理函数对字符编码的指定由所疏忽时)
检验字符编码
php中使用 mb_check_encoding函数检验字符串编码
bool mb_check_encoding(string $var,string $encoding)
第一个参数var是检验对象的字符串,第二个参数encoding是字符串,enconding可以省略,省略时函数使用PHP的内部字符编码,如果var字符串的字符编码正确则返回true。
输入校验
输入校验的目的
- 尽早发现输入错误并提示用户重新输入,提高易用性。
- 防止错误处理造成数据不一致等,提高系统可靠性
二进制安全与空字节攻击
二进制安全是指,不管输入值时怎样的字节列都能将其原封不动的进行处理的功能,特别时当包含零值字节(null字节,PhP中记作\0)时也能正确处理。
空字节之所以特殊,是因为在c语言以及Uxinx与windows的API规范中规定了空字节为字符串的结尾,因此在c语言的php以及其它脚本语言中,有些函数不能正确处理空字节,而这类函数就被称为不是二进制安全的函数
ereg检验绕过
php中检验函数为ereg('^[ 0-9 ]+$',$p)传输方式为get时
我们可以在浏览器执行
?p=1%00<script>alert('xss')</script>
ereg检验被绕过的原因,就是URL中含有%00,%00就是空字节由于ereg不是二进制安全函数,因此,检验对象中如果含有空字节,就会视作字符串的结束。
输入值检验及应用程序规格
检验控制字符
控制字符是指,换行符(CR和LF)和Tab等通常不显示在页面上的。ASCII编码中0x20以下以及0x7F(DELETE)的字符,空字节也是控制字符,
单行的文本输入框中,由于按常规的输入方法无法输入控制字符,因此多数情况下所有的控制字符都会遭到拒绝。textare元素中能够输入换行和Tab,但是否允许Tab则由规格决定。
检验字符数
应用程序的规格文档中应当明确定义所有输入项目的最大字符数,某些情况下,检验最大字符数能使用应用的安全性更为稳固,假设限制字符串的最大长度为10时,就算攻击者在发现了sql注入隐患时,也无法实施攻击。
检验的参数
输入检验的对象为所有参数,hidden参数,单选框,select元素等
cookie中包含会话id以外值的情况下,cookie值也是检验对象,应用中用到了referer等http消息头时也需要进行检验。
php正则表达式库
利用正则表达式能够实现输入检验,可以利用的正则表达式函数有ereg,preg,mb_ereg 3大类,其中ereg不是二进制安全的,因此在php5.3及其以后的版本中已经被废弃。preg仅在字符编码为UTF-8的情况下能正常处理中文字符,而mb_ereg 则适用于大多数字符。