


[ベスト プラクティス シリーズ] PHP セキュリティの 3 つの柱: フィルタリング、検証、エスケープ - Blade テンプレート エンジンを使用して XSS 攻撃を回避する原則の探求
PHP エスケープ実装
出力を Web ページまたは API 応答にレンダリングする場合、これは悪意のあるコードのレンダリングや XSS の発生を避けるための保護手段でもあります。攻撃を防止し、アプリのユーザーが誤って悪意のあるコードを実行することを防ぎます。
出力を転送するには、前述の htmlentities 関数を使用できます。関数の 2 番目のパラメーターでは、一重引用符と二重引用符をエスケープするために ENT_QUOTES を使用する必要があります。また、3 番目のパラメーターでも適切な文字エンコーディングを指定します。 (通常は UTF-8)。次の例は、レンダリング前に HTML 出力をエスケープする方法を示しています:
1 |
|
エスケープせずに直接出力すると、プロンプト ボックスが表示されます:
エスケープ後の出力は次のようになります:
1 |
|
最新の PHP は多くのテンプレート エンジンをサポートしており、これらのテンプレート エンジンは現在、人気のある小枝/小枝やSmarty/smarty は出力を自動的にエスケープします。このデフォルトの処理は優れており、PHP Web アプリケーションに強力なセキュリティ保証を提供します。
XSS 攻撃を回避するための Blade テンプレート エンジンの原理
Laravel で使用されるテンプレート エンジンは Blade です。Blade の使用方法については、ここで簡単に説明します。 Laravel の最下層は出力処理をエスケープします。
通常、Laravel では次のようにビューのコンテンツを返します。
1 |
|
これは非常に単純な例です。つまり、resources/views php ビューに test.blade が見つかります。ファイルを作成し、そのファイルに $data 変数を渡し、最終的なレンダリング結果を応答のコンテンツとしてユーザーに返します。では、このプロセスではどのような基礎的なソース コード処理が行われたのでしょうか? $data 変数にスクリプト コード (JavaScript スクリプトなど) が含まれている場合、それはどのように処理されるべきでしょうか?次に詳しく見てみましょう。
まず、補助関数 view から始めます。 もちろん、ここで View:make を使用することもできますが、簡単にするために、通常は IlluminateFoundationhelpers.php ファイルで定義されている view 関数を使用します。 >
1 |
|
1 |
|
1 |
|
1 |
|
ここでは $this->getContents() に焦点を当て、getContents メソッドを入力します。
1 |
|
ここの $this->engine が CompilerEngine に対応することは前に述べました。 (IlluminateViewEnginesCompilerEngine) なので、CompilerEngine の get メソッドに入ります。
1 |
|
同様に、CompilerEngine で使用されるコンパイラは BladeCompiler であると前述したため、$this->compiler は Blade コンパイラになります。 $ を見てみましょう。 this->compiler first. ->compile($path); この行 (初めて実行するとき、またはコンパイルされたビュー テンプレートが期限切れになったときにここに入力します)、BladeCompiler のコンパイル メソッドを入力します。 🎜>
1 |
|
この時点で、HTML コード (Blade 命令コードを含む) については、compileExtensions、compileStatements、compileComments、およびcompileEchos メソッドが循環的に呼び出されることになります。ブレード エンジンは、デフォルトで、compileRawEchos、compileEscapedEchos、および COMPLEIREGULAREchos の 3 つの出力メソッドを提供します。対応する命令は、名前が示すように、compileRawEchos です。出力:
1 |
|
1 |
|
即Blade视图中以 {!! !!} 包裹的变量会原生输出HTML,如果要显示图片、链接,推荐这种方式。
{{{}}} 对应的 CompileEscapedEchos ,这个在Laravel 4.2及以前版本中用于转义,现在已经替换成了 {{}} ,即调用 compileRegularEchos 方法:
1 |
|
其中 $this->echoFormat 对应 e(%s) ,无独有偶, compileEscapedEchos 中也用到这个方法:
1 |
|
辅助函数 e() 定义在 Illuminate\Support\helpers.php 中:
1 |
|
其作用就是对输入的值进行转义。
经过这样的转义,视图中的 {{ $data }} 或被编译成 ,最终如何将 $data 传入视图输出,我们再回到 CompilerEngine 的 get 方法,看这一段:
1 |
|
evaluatePath 中传入了编译后的视图文件路径和传入的变量 $data ,该方法定义如下:
1 |
|
这里面调用了PHP系统函数 extract 将传入变量从数组中导入当前符号表(通过 include $__path 引入),其作用也就是将编译后视图文件中的变量悉数替换成传入的变量值(通过键名映射)。
好了,这就是Blade视图模板从渲染到输出的基本过程,可以看到我们通过 {{}} 来转义输出,从而达到避免XSS攻击的目的。

ホットAIツール

Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。

Undress AI Tool
脱衣画像を無料で

Clothoff.io
AI衣類リムーバー

AI Hentai Generator
AIヘンタイを無料で生成します。

人気の記事

ホットツール

メモ帳++7.3.1
使いやすく無料のコードエディター

SublimeText3 中国語版
中国語版、とても使いやすい

ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境

ドリームウィーバー CS6
ビジュアル Web 開発ツール

SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)

ホットトピック











Laravelは、直感的なフラッシュメソッドを使用して、一時的なセッションデータの処理を簡素化します。これは、アプリケーション内に簡単なメッセージ、アラート、または通知を表示するのに最適です。 データは、デフォルトで次の要求のためにのみ持続します。 $リクエスト -

PHPクライアントURL(CURL)拡張機能は、開発者にとって強力なツールであり、リモートサーバーやREST APIとのシームレスな対話を可能にします。尊敬されるマルチプロトコルファイル転送ライブラリであるLibcurlを活用することにより、PHP Curlは効率的なexecuを促進します

Laravelは簡潔なHTTP応答シミュレーション構文を提供し、HTTP相互作用テストを簡素化します。このアプローチは、テストシミュレーションをより直感的にしながら、コード冗長性を大幅に削減します。 基本的な実装は、さまざまな応答タイプのショートカットを提供します。 Illuminate \ support \ facades \ httpを使用します。 http :: fake([[ 'google.com' => 'hello world'、 'github.com' => ['foo' => 'bar']、 'forge.laravel.com' =>

顧客の最も差し迫った問題にリアルタイムでインスタントソリューションを提供したいですか? ライブチャットを使用すると、顧客とのリアルタイムな会話を行い、すぐに問題を解決できます。それはあなたがあなたのカスタムにより速いサービスを提供することを可能にします

記事では、PHP 5.3で導入されたPHPの後期静的結合(LSB)について説明し、より柔軟な継承を求める静的メソッドコールのランタイム解像度を可能にします。 LSBの実用的なアプリケーションと潜在的なパフォーマ

PHPロギングは、Webアプリケーションの監視とデバッグ、および重要なイベント、エラー、ランタイムの動作をキャプチャするために不可欠です。システムのパフォーマンスに関する貴重な洞察を提供し、問題の特定に役立ち、より速いトラブルシューティングをサポートします

Laravelは、着信リクエストでHTTP動詞処理を簡素化し、アプリケーション内の多様な運用管理を合理化します。 Method()およびisMethod()メソッドは、リクエストタイプを効率的に識別および検証します。 この機能は、建物に不可欠です

ストレージ:: Laravelフレームワークのダウンロード方法は、ファイルストレージの抽象化を管理しながら、ファイルのダウンロードを安全に処理するための簡潔なAPIを提供します。 サンプルコントローラーでストレージ::ダウンロード()を使用する例は次のとおりです。
