侵入者によるインジェクションを回避するために、URL を介してパラメーターを渡す際に特殊文字を削除することに取り組んでいます。たとえば、以下の URL がありました。
www.sitename.com/people?job=manager
alert以下のように、パラメーターの後にスクリプトを追加しました。
www.sitename.com/people?job=manager"/><script>alert%2844749%29<%2fscript>
URL を実行すると、alertウィル ポップアップが表示されるため、この手法によるサイト情報の取得に脆弱性が生じる可能性があります。$_REQUEST渡されたパラメーターを取得して結果を生成するために使用します。以下に適用できるURLインジェクション技術を回避するための治療法はありますか?
$job = $_REQUEST["job"];
アドバイスありがとう。
まず、$ _ REQUESTを使用しないでください。また、CSRF攻撃から保護するために、html_entities()またはを使用できますstrip_tags()。
特定のタグを許可する場合は、HTMLピューリファイヤーを使用できます。
次のようなURL
www.sitename.com/people?job=manager"/><script>alert%2844749%29<%2fscript>
それ自体に有害なことは何もしません。
このようなURL、このような値は、もちろんHTMLに出力され、 HTMLインジェクションが発生します。これが、 HTMLでエスケープする必要がある理由です。
<?php $url = 'www.sitename.com/people?job=manager"/><script>alert%2844749%29<%2fscript>'; ?>
<a href="<?php echo htmlspecialchars($url, ENT_QUOTES); ?>">Click here</a>
urlencode 関数を使用します。詳細については、 https://www.php.net/manual/en/function.urlencode.phpをご覧ください。
代わりに、次のコードを使用して入力を直接フィルタリングできます。
$job = filter_input(INPUT_GET, 'job', FILTER_SANITIZE_FULL_SPECIAL_CHARS);
使用できますstrip_tags()
<?php
$text = '<p>Test paragraph.</p><!-- Comment --> <a href="#fragment">Other text</a>';
echo strip_tags($text);
echo "\n";
// Allow <p> and <a>
echo strip_tags($text, '<p><a>');
?>
または、通常の Exp を使用します--
$data = preg_replace('/<script\b[^<]*(?:(?!<\/script>)<[^<]*)*<\/script>/gi', '', $data);
htmlspecialcharsを使用して特別な html 文字をエスケープするか、strip_tagsを使用して文字列からすべてのタグを削除します。