Sikkerhet rundt HTML-input

[dropface]

Først og fremst; jeg er ingen ekspert på MySQL. Har holdt litt på med enkle inndata fra HTML til databasen, men mangler kunnskap om sikkerheten. Derfor har jeg en del generelle spørsmål rundt dette.

 

--

 

La oss si at vi har en MySQL-spørring som henter ut data fra 3 forskjellige inputs i HTML-arket.

Alle disse inndata`ene skal være ren tekst.

 

Rent prinsippielt, vil spørringen være helt sikker for angrep om innholdet i disse er strippet for symboler? Eller vil dette komme an på hvordan funksjon man bruker for å utelukke farlig kode/symboler?

 

Og vil en database-"exploit" kunne gå rundt dette på en måte uansett? XSS?

Endret 13. august 2009 av dropface

[duckers]

Jeg er på ingen måte ekspert på dette feltet, men slik jeg har forstått det skal det være trygt så lenge du ungår alt som kan tolkes som en spørring eller HTML kode.

 

Spørringer kan du oftest ungå ved å benytte funksjoner som endrer stringen og fjerner alt som kan ligne på en spørring. Slike funksjoner finner du ofte i databasedriveren.

 

HTML fjerner du vel ved å fjerne alle <> i koden, eventuelt gjøre dem om til HTML utgaven (&xxx; lignende). Dette kan du løse med en regexp funksjon.

[TheClown]

Bruk PHP og innebygde funksjoner til å strippe input. Da burde det ikke være noe problem

[PuterDude]

if (!preg_match("/^[a-zA-Z .-æøåÆØÅ\d]$/", $_POST/$_GET[input]) {
 echo "Dette er ikke en gyldig streng!";
die();
}

 

Dette regulære uttrykket whitelister a-å, A-Å, 0-9, bindestrek, punktum og mellomrom. Og gir en feilmelding. Du bør også lese litt om validering av input og escaping av output.

Endret 15. august 2009 av PuterDude

[blackbrrd]

Bruk preparedStatements, så slipper du mulighet for SQL-injection. Du vil fortsatt ha problemet med at folk kan legge inn f.eks ondsinnet javascript-kode...