PHP-Sicherheit – Ausgabe-Escape

Ausgabeflucht

Eine weitere Grundlage für die Sicherheit von Webanwendungen besteht darin, die Ausgabe zu maskieren oder Sonderzeichen zu kodieren, um sicherzustellen, dass die ursprüngliche Bedeutung unverändert bleibt. Beispielsweise muss O'Reilly an O'Reilly maskiert werden, bevor es an die MySQL-Datenbank gesendet wird. Der Backslash vor dem einfachen Anführungszeichen bedeutet, dass das einfache Anführungszeichen Teil der Daten selbst ist und nicht ihre ursprüngliche Bedeutung.

Das Ausgabe-Escape, auf das ich mich beziehe, ist in drei Schritte unterteilt:

l Erkennen der Ausgabe

l                                                                                                                                                               kann zwischen maskierten und nicht maskierten Daten unterscheiden 🎜> Es ist notwendig, nur gefilterte Daten zu maskieren. Obwohl Escape viele häufige Sicherheitslücken verhindert, ist es kein Ersatz für die Eingabefilterung. Verunreinigte Daten müssen zuerst gefiltert und dann maskiert werden.

Wenn Sie die Ausgabe maskieren, müssen Sie zunächst die Ausgabe identifizieren. Dies ist oft viel einfacher als das Erkennen von Eingaben, da es auf den von Ihnen ausgeführten Aktionen basiert. Wenn Sie beispielsweise die Ausgabe des Clients erkennen, können Sie im Code nach den folgenden Anweisungen suchen: >

Als Anwendungsentwickler müssen Sie es wissen Jeder Ort, der an externe Systeme ausgibt. Sie bilden den Output.

Wie beim Filtern variiert auch der Escape-Prozess je nach Situation. Die Filterung ist je nach Datentyp unterschiedlich und die Escape-Maßnahme erfolgt je nach dem System, an das Sie die Informationen übertragen.

In PHP stehen integrierte Funktionen zum Escapen einiger gängiger Ausgabeziele zur Verfügung, darunter Clients, Datenbanken und URLs. Wenn Sie Ihren eigenen Algorithmus schreiben, ist es wichtig, narrensicher zu sein. Es ist notwendig, eine zuverlässige und vollständige Liste der Sonderzeichen im Fremdsystem und deren Darstellung zu finden, damit die Daten erhalten bleiben und nicht übersetzt werden.

echo
print
printf
<?=

Das häufigste Ausgabeziel ist der Client, der htmlentities( ) ist der beste Weg, die Daten vor dem Versenden zu maskieren. Wie bei anderen String-Funktionen ist die Eingabe ein String, der verarbeitet und ausgegeben wird. Aber mit htmlentities( ) besteht darin, seine beiden optionalen Parameter anzugeben: die Art und Weise, Anführungszeichen zu umgehen (zweiter Parameter) und den Zeichensatz (dritter Parameter). Die Escape-Methode für Anführungszeichen sollte als ENT_QUOTES angegeben werden. Ihr Zweck besteht darin, einfache Anführungszeichen und doppelte Anführungszeichen gleichzeitig zu maskieren. Der Zeichensatzparameter muss mit dem von der Seite verwendeten Zeichensatz übereinstimmen.

Um zu unterscheiden, ob die Daten maskiert wurden, empfehle ich dennoch, einen Benennungsmechanismus zu definieren. Für die Ausgabe der maskierten Daten an den Client verwende ich das Array $html zur Speicherung. Die Daten werden zunächst in einem leeren Array initialisiert, um alle gefilterten und maskierten Daten zu speichern.

CODE:

Tipps

htmlspecialchars()-Funktion und htmlentities( )-Funktionen sind grundsätzlich gleich, ihre Parameterdefinitionen sind genau gleich, außer dass die Escape-Funktion von htmlentities() gründlicher ist.

Durch die Ausgabe des Benutzernamens an den Client über $html['username'] können Sie sicherstellen, dass die Sonderzeichen vom Browser nicht falsch interpretiert werden. Wenn der Benutzername nur Buchstaben und Zahlen enthält, ist ein Escapen eigentlich nicht notwendig, aber dies spiegelt den Grundsatz der Tiefenverteidigung wider. Es ist eine sehr gute Angewohnheit, sich jeglicher Ausgabe zu entziehen und kann die Sicherheit Ihrer Software erheblich verbessern.

<?php
 
  $html = array(  );
  $html[&#39;username&#39;] =
htmlentities($clean[&#39;username&#39;], ENT_QUOTES, &#39;UTF-8&#39;);
  echo "<p>Welcome back,
{$html[&#39;username&#39;]}.</p>";
 
  ?>

Ein weiteres häufiges Ausgabeziel ist eine Datenbank. Wenn möglich, müssen Sie die integrierten PHP-Funktionen verwenden, um die Daten in der SQL-Anweisung zu maskieren. Für MySQL-Benutzer ist mysql_real_escape_string( die beste Escape-Funktion ). Wenn die von Ihnen verwendete Datenbank nicht über die integrierten Escape-Funktionen von PHP verfügt, ist addslashes() der letzte Ausweg.

Das folgende Beispiel veranschaulicht die korrekte Escape-Technik für MySQL-Datenbanken:

CODE:

<?php
 
  $mysql = array(  );
  $mysql[&#39;username&#39;] =
mysql_real_escape_string($clean[&#39;username&#39;]);
  $sql = "SELECT *
          FROM   profile
          WHERE  username =
&#39;{$mysql[&#39;username&#39;]}&#39;";
  $result = mysql_query($sql);
 
  ?>

以上就是PHP安全-输出转义的内容，更多相关内容请关注PHP中文网（www.php.cn）！