在 5.6 -> 7.1 的討論串看到一些安全相關的對話 感覺有些東西值得單獨拿出來討論 我自己的意見是這樣： - 不要一開始就把資料做跳脫，只有到最後要把資料餵出去給其他地方的時候才做 - 例如，做 SQL 的那一行，或寫 HTML 那行 - 設計來幹什麼的 function，就只拿來幹什麼 - htmlentities 只處理 html，不處理 SQL injection - 不要用 addslashes 跟 magic quote - 如果可以的話，不要自己組 SQL/HTML/Javascript - 從根本確保沒有 injection 這件事 ---------------------------------------------- 上面這幾個原則，是為了達成這幾個目的 - 保留原始資料，就算他裡面可能有髒東西 - 不管 code 寫到哪裡，都可以遵循同樣的做法 - 減少可能有問題的地方 - 難搞的事情，讓比專業的人來做 首先必須要認知，同樣的資料要避免被注入髒東西 在不同的地方處理方法是不一樣的。 例如，同樣 </script><script>alert('1');// 這個字串 - 放進 html 要 escape 成 &lt;/script&gt;&lt;script&gt;alert('1');// - htmlspecialchars / htmlentities - 放進 javascript 字串，要 escape 成 "<\/script><script>alert('1');\/\/" - json_encode - 放進 sql，要 escape 成 </script><script>alert(\'1\');// - mysql(i)_real_escape_string 可以看到不同的地方需要的 escape 都不一樣。 所以你必須需要保留原始的輸入資料，然後在不同的地方各自做不同的轉換 而每個轉換都應該找專門設計來做這件事的 function 來做。 然後，你不該「事先」把資料做 escape。 如果有個 function 是 updateUserNickName($uid, $name) 那麼你應該會預期 $name 是 "It's me, Mario!" 的時候 使用者的暱稱會被改成 "It's me, Mario!" 但，如果你事先把 $name escape 過了，那這個 function 得做的事情就變成 輸入 "It\'s me, Mario!" 的時候，暱稱被改成 "It's me, Mario!" 換句話說，function 行為與業務行為不同步 不管是要寫單元測試，或是未來要改寫這個 function，寫的人詛咒作者的機會很高 再來是，如果建立起不事先跳脫資料的慣例，那麼只要看到 "SELECT * FROM user WHER uid = '{$uid}'" 你不用看前面的 code 也能確定這段 code 一定有問題 不用花時間回去確認「前面到底有沒有事先過濾啊」 可以用更短的時間看出問題所在 addslashes 的問題是他看不懂多位元的文字 可以故意塞特定位元，讓字串過 addslashes 之後剛好變成 '\ 之類的東西 http://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string magic quote 則是自動幫你套用 addslashes，等於是事先做跳脫 而且結果還不一定能用（記得 js 跟 html 跟 sql 需要的跳脫都不一樣嗎？） 但比起傷腦筋怎麼做跳脫，最好的方法是一開始就不要做可能被插東西的字串 這也是為什麼這年頭普遍建議用 prepared statment 因為你塞進 DB 的 prepared query （例如 SELECT * FROM user WHERE uid = ?） 一定整句是你寫的，不會有外面傳來的東西，百分之百保證不會被插東西 bind 變數的時候，並不是在「把變數組合成一句 SQL」，而是「告訴DB變數的值是什麼」 所以不管使用者塞什麼髒東西，DB 都不會誤會你的意思 同樣的理由，當你需要用 javascript 動態產生表單欄位的時候 不要自己做一段 html 然後 document.write 而是應該 createElement，然後對 element 做 setAttribute 最後 append 到需要的 node 上面 或是用 jquery 的寫法： $('<input>') .attr({id:"myid",name:"myname"}) .val(userInputValue) // 不管使用者寫什麼髒東西都不怕 .appendTo($('#form1')); 不自己做 html 字串，就不需要擔心 html 端的 injection (嚴謹的說，是「幾乎」不用擔心) -- 莉娜用魔法爆破進入屋內。 劫犯從另一個房間裡出現，大叫道︰「妳是誰！」 莉娜︰「我是個可疑的女人！」 劫犯無言以對。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.27.61.52 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1512238781.A.6C9.html ※ 編輯: GALINE (114.27.61.52), 12/03/2017 02:25:24 ※ 編輯: GALINE (114.27.61.52), 12/03/2017 09:38:43