PHPデータフィルター関数_PHPチュートリアル-PHPチュートリアル-php.cn

1. PHP 送信データフィルタリングの基本原則

1) 変数をデータベースに送信するときは、フィルター処理にaddlashes()を使用する必要があります。たとえば、注入の問題は1つのaddslashes()で解決できます。実際、変数値に関しては、 intval() 関数も文字列のフィルタリングに適しています。

2) php.iniでmagic_quotes_gpcとmagic_quotes_runtimeを有効にします。 magic_quotes_gpc は、get、post、cookie の引用符をスラッシュに変更できます。 magic_quotes_runtime は、データベースに出入りするデータの書式設定の役割を果たします。実際、このパラメータは、インジェクションが夢中になっていた昔から非常に人気がありました。

3) システム関数を使用する場合は、安心してシステム関数を使用できるように、escapeshellarg()、escapeshellcmd() パラメータを使用してフィルタリングする必要があります。

4) クロスサイトの場合は、strip_tags() と htmlspecialchars() の 2 つのパラメータが良く、ユーザーが送信した html と php のタグが変換されます。たとえば、山括弧「<」は「<」などの無害な文字に変換されます。

コードは次のとおりです

$new = htmlspecialchars("テスト", ENT_QUOTES);
ストリップタグ($text,);

5) 関連する関数のフィルタリングについては、先ほどの include()、unlink、fopen() などと同様に、操作したい変数を指定するか、関連する文字を厳密にフィルタリングすればよいと思います。完璧になります。

2. PHPによる簡単なデータフィルタリング

1）ストレージ：trim($str),addslashes($str)

2) 出力：stripslashes($str)

3) 表示: htmlspecialchars(nl2br($str))

dispatch.php スクリプトの詳細については、以下の例を参照してください:

コードは次のとおりです

/* グローバルセキュリティ処理 */

スイッチ ($_GET['タスク'])
{
ケース「print_form」:
'/inc/presentation/form.inc' を含めます;
休憩;

ケース「プロセスフォーム」:
$form_valid = false;
'/inc/logic/process.inc' を含めます;
if ($form_valid)
{
'/inc/presentation/end.inc' を含めます;
}
それ以外
{
'/inc/presentation/form.inc' を含めます;
}
休憩;

デフォルト:
'/inc/presentation/index.inc' を含めます;
休憩;
}

これが公的にアクセス可能な唯一の PHP スクリプトである場合、そのプログラムは、最初のグローバルセキュリティ処理がバイパスできないように設計されていると確信できます。また、開発者は特定のタスクの制御フローを簡単に確認できます。たとえば、コード全体を閲覧しなくても簡単にわかります。$form_valid が true の場合、end.inc は process.inc がインクルードされる前であり、false に初期化されたばかりであるため、ユーザーに表示される唯一のものです。 process.inc の内部ロジックによって true に設定されると判断できます。それ以外の場合は、フォームが再度表示されます (関連するエラーメッセージが表示される可能性があります)。

注意

(dispatch.php ではなく)index.php などのディレクトリ指定のファイルを使用する場合は、http://example.org/?task=print_form のように URL アドレスを使用できます。

ApacheForceType リダイレクトまたは mod_rewrite を使用して、URL アドレス http://example.org/app/print-form を調整することもできます。

メソッドが含まれます

もう 1 つの方法は、すべてのセキュリティ処理を担当する単一のモジュールを使用することです。このモジュールは、すべてのパブリック PHP スクリプトの先頭 (または最先頭) に含まれています。以下の security.inc スクリプトを参照してください

コードは次のとおりです

スイッチ ($_POST['form'])
{
ケース「ログイン」:
$allowed = array();
$allowed[] = 'フォーム';
$allowed[] = 'ユーザー名';
$allowed[] = 'パスワード';

$sent = array_keys($_POST);

if ($allowed == $sent)
{
'/inc/logic/process.inc' を含めます;
}

休憩;
}

この例では、送信された各フォームには一意の検証値フォームが含まれているとみなされ、security.inc はフィルタリングが必要なフォーム内のデータを独立して処理します。この要件を実装する HTML フォームは次のようになります:

コードは次のとおりです

<フォームアクション="/receive.php"メソッド="POST">

ユーザー名:

パスワード:

$allowed という配列は、フォームが処理される前に、どのフォーム変数が許可されているかを確認するために使用されます。プロセス制御は何を実行するかを決定し、実際のフィルター処理されたデータは process.inc に到着します。

注意

security.inc が常にすべてのスクリプトの先頭に含まれるようにするより良い方法は、auto_prepend_file 設定を使用することです。

フィルタリングの例

ホワイトリストの確立はデータフィルタリングにとって非常に重要です。遭遇する可能性のあるすべてのフォームデータの例を示すことは不可能なので、いくつかの例は一般的な理解を得るのに役立ちます。

次のコードは電子メールアドレスを検証します:

コードは次のとおりです

$clean = array();

$email_pattern = '/^[^@s<>]+@([-a-z0-9]+.)+[a-z]{2,}$/i';

if (preg_match($email_pattern, $_POST['email']))
{
$clean['email'] = $_POST['email'];
}

次のコードは、$_POST['color'] の内容が赤、緑、または青であることを確認します。

コードは次のとおりです

次のコードは、$_POST['num'] が整数であることを確認します。

$clean = array();

スイッチ ($_POST['color'])

{
ケース「レッド」:
ケース「グリーン」:
ケース「ブルー」:
$clean['color'] = $_POST['color'];
休憩;
}

コードは次のとおりです

$clean = array();

if ($_POST['num'] == strval(intval($_POST['num'])))

{
$clean['num'] = $_POST['num'];
}

次のコードは、$_POST['num'] が浮動小数点数 (float) であることを確認します。

コードは次のとおりです

$clean = array();

if ($_POST['num'] == strval(floatval($_POST['num'])))

{

$clean['num'] = $_POST['num'];
}

?>

名前変換

これまでのすべての例では、配列 $clean を使用しました。これは、開発者がデータに潜在的に脆弱性があるかどうかを判断するための良い方法です。データを検証した後は、決して $_POST または $_GET にデータを保存しないでください。開発者は、スーパーグローバル配列に保存されたデータを常に完全に疑う必要があります。

追加する必要があるのは、$clean を使用すると、フィルターされていないものについて考えるのに役立ち、ホワイトリストの役割に近いということです。セキュリティレベルを向上させることができます。

検証済みのデータのみを $clean に保存する場合、データ検証における唯一のリスクは、参照する配列要素が存在しないことであって、フィルターされていない危険なデータではありません。

タイミング

PHP スクリプトの実行が開始されると、すべての HTTP リクエストが終了したことになります。この時点では、ユーザーがスクリプトにデータを送信する機会はありません。したがって、(register_globals がオンになっている場合でも) スクリプトにデータを入力することはできません。このため、変数を初期化することは非常に良い方法です。

抗注射

コードは次のとおりです

//PHP サイト全体のアンチインジェクションプログラム、このファイルをパブリックファイルに require_once する必要があります
//magic_quotes_gpc ステータスを決定する
if (@get_magic_quotes_gpc ()) {
$_GET = 秒 ( $_GET ); $_POST = 秒 ( $_POST ); $_COOKIE = 秒 ( $_COOKIE ); $_FILES = 秒 ( $_FILES ); }
$_SERVER = 秒 ( $_SERVER ); 関数 sec(&$array) {
// 配列の場合は、配列を走査して再帰的に呼び出します
if (is_array ( $array )) {
foreach ( $array as $k => $v ) {
$array [$k] = 秒 ( $v ); }
} else if (is_string ( $array )) {
//addslashes関数を使って処理します
$array = ラッシュを追加します ( $array ); } else if (is_numeric ( $array )) {
$array = 整数 ( $array ); }
$配列を返す
}
//整数フィルター関数
関数 num_check($id) {
if (! $id) {
die ( 'パラメータを空にすることはできません!' ); } //空かどうかを判断する
else if (inject_check ( $id )) {
die ('不正なパラメータ' ); } //判定を注入する
else if (! is_numetic ( $id )) {
die ('不正なパラメータ' ); }
//数値判定
$id = 整数 ( $id ); //整数化
$id を返す
}
//文字フィルター関数
関数 str_check($str) {
if (inject_check ( $str )) {
die ('不正なパラメータ' ); }
// 判定を注入する
$str = htmlspecialchars ( $str ); //HTMLを変換する
$str を返します。 }
関数 search_check($str) {
$str = str_replace ( "_", "_", $str ); //「_」をフィルターで除外します
$str = str_replace ( "%", "%", $str ); //「%」を除外します
$str = htmlspecialchars ( $str ); //HTMLを変換する
$str を返します。 }
//フォームフィルター関数
関数 post_check($str, $min, $max) {
if (isset ( $min ) && strlen ( $str ) < $min) {
die ('最小 $min バイト'); } else if (isset ( $max ) && strlen ( $str ) > $max) {
die ('$max バイトまで'); }
ストリップスラッシュ配列を返します ( $str ); }
//アンチインジェクション関数
関数 inject_check($sql_str) {
return eregi ( 'select|inert|update|delete|'|/*|*|../|./|UNION|into|load_file|outfile', $sql_str ); // www.111cn.net フィルタリングとインジェクション防止用
}
関数tripslashes_array(&$array) {
if (is_array ( $array )) {
foreach ( $array as $k => $v ) {
$array [$k] = ストリップスラッシュ_配列 ( $v ); }
} else if (is_string ( $array )) {
$array = ストリップスラッシュ ( $array ); }
$配列を返す
}
?>