एक्सएसएस और अन्य हमलों से बचने के लिए $ _GET पैरामीटर को स्वच्छ करें

Question

मेरे पास php में एक वेबसाइट है जिसमें सामग्री को टेम्पलेट में एम्बेड करने के लिए() शामिल है। लोड करने के लिए पृष्ठ को पैरामीटर में दिया गया है, मैं पैरामीटर के अंत में ".php" जोड़ता हूं और उस पृष्ठ को शामिल करता हूं। मुझे XSS या अन्य सामान से बचने के लिए कुछ सुरक्षा जांच करने की आवश्यकता है (MySQL इंजेक्शन नहीं क्योंकि हमारे पास डेटाबेस नहीं है)। मैं जो आया हूं वह निम्नलिखित है।

$page = $_GET['page']; 

if(!strpos(strtolower($page), 'http') || !strpos($page, '/') || 
    !strpos($page, '\\') || !strpos($page, '..')) { 
     //append ".php" to $page and include the page 

क्या कोई अन्य चीज है जो मैं अपने इनपुट को और अधिक स्वच्छ करने के लिए कर सकता हूं?

Answer 1

$page = preg_replace('/[^-a-zA-Z0-9_]/', '', $_GET['page']); 

शायद इस को साफ़ करने में सबसे तेज तरीका है, इस के लिए कुछ भी लेने के लिए और है कि यह केवल अक्षर, संख्या, अंडरस्कोर या डैश शामिल यकीन है कि कर देगा।

Answer 2

अपने स्रोत कोड में मौजूद पृष्ठों की एक स्पष्ट सूची परिभाषित करें और फिर इनपुट जांचने के लिए इसका उपयोग करें। हां, यह अधिक काम है, लेकिन यह बहुत स्पष्ट करता है कि क्या अनुमति है और क्या नहीं है। उदाहरण के लिए:

$AVAILABLE_PAGES = array('home', 'news', ...); 
$AVAILABLE_PAGES = array_fill_keys($AVAILABLE_PAGES, 1); 

$page = $_GET['page']; 
if (!$AVAILABLE_PAGES[$page]) { 
    header("HTTP/1.0 404 Not Found"); 
    die('Page not found.'); 
} 

include "pages/$page.php"; 

Answer 3

"sanitize" न करें - हमले डेटा के उपयोग के लिए विशिष्ट हैं, स्रोत नहीं। मूल्यों से बचें जैसे आप उन्हें आउटपुट करते हैं। यह भी देखें कि What’s the best method for sanitizing user input with PHP?