問題タブ [whitelist]

ユーザーからの入力をサニタイズする際に推奨されるアプローチはどれですか?

ありがとう！

私はウェブサイトで簡単な検索を実装していますが、現在、入力のサニタイズに取り組んでいます。私の計画は、許可された文字のホワイトリストを作成することです. 私はPHPを使用していますが、これまでのところ現在の正規表現を取得しています:

そのため、英数字、スペース、ハイフン以外のものはすべて削除しています。

この種のことに対して一般的に受け入れられているホワイトリストはありますか、それともアプリケーションに依存しているだけですか? 本のタイトル、著者名、本の宣伝文句で検索します。

AppEngine では、ブラックリストを定義して、特定の IP 範囲からのアクセスを禁止できます (http://code.google.com/appengine/docs/python/config/dos.html)。

私がやりたいのはその逆です。特定の IP 範囲からのアクセスのみを許可するホワイトリストです。

私はネットワークのスペシャリストではないので、助けていただければ幸いです: 130.100.120.0 から 130.100.123.255 までの範囲の IP へのアクセスを制限したい場合、AppEngines ブラックリスト メカニズムを使用して行うことができますか?アプリケーション内から確認しますか?

ありがとう。

私はフォームを持っています。今のところ、必要な JavaScript などを入力できます。XSSなど

キャラクターのみを投稿できるように、ホワイトリストを作成するにはどうすればよいですか?

http://ある時点で、で始まるものをすべてに変換したいと思います

<a href="http://..."></a>

ありがとう

これは効率的ですか？ http://htmlpurifier.org/

私たちは子供向けの教育用マルチプレイヤー ゲームを開発しており、プレイヤーがホワイトリスト システムを使用して互いにチャットできるようにしたいと考えています。ホワイトリスト チャットを使用する場合、プレーヤーはホワイトリストに表示される単語のみを入力できます。

一般的にホワイトリストの制限を認識していますが、ホワイトリスト チャット システムは、モデレート チャットやブラックリスト チャットよりも高いレベルのセキュリティを可能にしながら、プレイヤーがゲーム内で自分自身をよりよく表現できるものであると考えています。

このシステムは簡単に実装できますが、オンラインで「安全な」単語のサンプル ホワイトリストを見つけることができませんでした。できれば商用プロジェクトで使用できるライセンスがあれば、そのようなリストを見つけることができる場所を知っている人はいますか?

ありがとう。

実際に使用する可能性のあるプロジェクトのアイデアをいじって、C# または Python のいずれかで Bit9 Parity の独自の単純なバージョンを作成してみようと考えました。私の質問は、これを行うための最良の方法は何ですか。プロセスの実行を防ぐために.Net機能をグーグルで検索しましたが、探しているものが実際には見つかりませんでした。私がやりたいことは、システム メモリ全体を監視し、リストで具体的に指定されていない限り、プロセスやアプリケーションの起動を拒否することです。ProcessWatcher が私の目に留まりましたが、それは特定のプロセス ID に対するものではありません。他のすべてのプロセスの開始をブロックするにはどうすればよいですか? これは.Netで可能ですか? パイソンはどうですか？

コールバック関数はarray_filter()、キーではなく、配列の値のみを渡します。

私が持っている場合：

配列$my_arrayにないすべてのキーを削除する最良の方法は何ですか?$allowed

望ましい出力:

HTML を regexp で解析するのは良くないことを知っています。また、すべてのケースで機能するとは限りません (スタック オーバーフローには、これに関するトピックがたくさんあります)。しかし、ホワイトリスト方式に基づいた正規表現で HTML をサニタイズしたかったのです。

以下に、私のコード (PHP 5.2 で記述) を示します。正常に動作しているように見えますが、セキュリティ上の問題があるかどうかはまだ疑問です。

それで、私は何か間違っていましたか？

基本的な原則は、Html_Sanitizer::sanitize() を使用することです

1. この関数は、最初に属性のない許可されたタグをトークンに置き換えます。次に、属性を持つタグを解析し、それらもトークンに置き換えます。
2. 次に、HTML タグが解析され、許可された属性が検出されます (cleanTag 関数を使用)。したがって、HTML タグは (できれば) 安全な方法で再構築されます。
3. htmlspecialchars は、残りのコードがクリーンであることを確認するために使用されます
4. トークンは安全なタグに置き換えられます。

コード：

SQL Server 2005を使用しています。指定されたパラメーターと同じ文字列を持つ、テーブルからすべての行を選択する必要があります。

唯一の問題は、タイトル列に、比較対象の@paramですでに「-」に置き換えられている特殊文字が含まれている可能性があることです。

[az] [AZ] [0-9] [-]以外の@paramの文字はすべて「-」に置き換えられたため、これを元に戻す方法はありません。（値はSEOに適したURLから取得されます）

可能なタイトル値の例とそれらがどのように見えるべきか：

文字のホワイトリストメカニズムが必要なため、SQL REPLACE（）関数を使用できません。タイトル列に、予測できない非常に特殊な文字が含まれている可能性があります。

これには正規表現が最適です。

2日間検索しましたが、T-SQLに実装するための簡単で効率的な方法を見つけることができませんでした。

すべての行を取得してクライアントコードでフィルタリングを行うことはできましたが、それは私にとってあまり良い解決策ではないようです。

助言がありますか？

Apacheでは、次の2つのテストに合格したユーザーにのみアクセスを許可するための最良の方法は何でしょうか。

1. ユーザーがブラックリストに表示されない（または、ホワイトリストに表示される）
2. ユーザーは有効なLDAPユーザーアカウントを持っています

すでに2番目のテストを実施していますが、有効なLDAPユーザーの一部を禁止する必要があります。ブラック/ホワイトリストを表すADグループを作成できないことに注意してください。