Vệ sinh các thông số $ _GET để tránh XSS và các cuộc tấn công khác

Question

Tôi có một trang web bằng php bao gồm() để nhúng nội dung vào một mẫu. Trang tải được đưa ra trong tham số get, tôi thêm ".php" vào cuối tham số và bao gồm trang đó. Tôi cần phải làm một số kiểm tra an ninh để tránh XSS hoặc các công cụ khác (không mysql tiêm vì chúng tôi không có một cơ sở dữ liệu). Những gì tôi đã đưa ra là sau đây.

$page = $_GET['page']; 

if(!strpos(strtolower($page), 'http') || !strpos($page, '/') || 
    !strpos($page, '\\') || !strpos($page, '..')) { 
     //append ".php" to $page and include the page 

Có điều gì khác tôi có thể làm để tiếp tục làm vệ sinh đầu vào của mình không?

Answer 1

$page = preg_replace('/[^-a-zA-Z0-9_]/', '', $_GET['page']); 

Có lẽ là cách nhanh nhất để khử trùng này, điều này sẽ mất bất cứ điều gì và chắc chắn rằng nó chỉ chứa chữ cái, số, gạch dưới hoặc dấu gạch ngang.

Answer 2

Xác định danh sách các trang bạn có trong mã nguồn của bạn và sau đó sử dụng nó để kiểm tra đầu vào. Vâng, đó là công việc nhiều hơn, nhưng nó làm cho nó rất rõ ràng những gì được cho phép và những gì không. Ví dụ:

$AVAILABLE_PAGES = array('home', 'news', ...); 
$AVAILABLE_PAGES = array_fill_keys($AVAILABLE_PAGES, 1); 

$page = $_GET['page']; 
if (!$AVAILABLE_PAGES[$page]) { 
    header("HTTP/1.0 404 Not Found"); 
    die('Page not found.'); 
} 

include "pages/$page.php"; 

Answer 3

Không "khử trùng" - Tấn công cụ thể cho việc sử dụng dữ liệu chứ không phải nguồn. Thoát giá trị khi bạn xuất chúng thay thế. Xem thêm câu trả lời của tôi cho What’s the best method for sanitizing user input with PHP?