<p>對於HTML輸出，請應用上下文感知逃脫：使用編碼文本和屬性的HTML實體，並與腳本中的JavaScript Escaps結合； 2。對於JSON，始終使用內置的序列化器並逃脫特殊字符，例如嵌入在HTML中時，以防止腳本突破； 3。對於SQL，使用參數(shù)化查詢或ORM而不是手動逃脫以防止SQL注入；相同的輸入需要根據(jù)上下文的不同保護，因此請務必根據(jù)目的地語言定制防禦，並確保適當?shù)妮敵鎏幚硪员苊獍踩┒础?</p> <p><img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/175364898234231.jpg" class="lazy" alt="上下文是國王：HTML，JSON和SQL輸出的剪裁逃生策略"></p> <p>在構建Web應用程序時，不可避免地生成動態(tài)輸出 - 無論是在HTML中渲染用戶數(shù)據(jù)，使用JSON服務API，還是在SQL數(shù)據(jù)庫中存儲信息。但這是捕獲：<strong>在不同情況下，相同的數(shù)據(jù)可能是危險的</strong>。在JSON中完全安全的繩子可能是HTML的滴答時間炸彈。這就是為什麼逃避一般逃脫的原因。<strong>背景是國王</strong>- 您的逃生策略必須相應適應。 </p> <img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/175364898389353.jpeg" class="lazy" alt="上下文是國王：HTML，JSON和SQL輸出的剪裁逃生策略"><p>讓我們分解如何以及為什麼在HTML，JSON和SQL上逃脫的方式以及您實際上應該採取的措施來保持安全。</p> <hr> <h3 id="HTML輸出-當心注射點"> 1。 HTML輸出：當心注射點</h3> <p>當將用戶生成的內容插入HTML時，主要威脅是<strong>跨站點腳本（XSS）</strong> 。危險在於數(shù)據(jù)的放置方式和位置。 </p> <img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/175364898481960.jpeg" class="lazy" alt="上下文是國王：HTML，JSON和SQL輸出的剪裁逃生策略"><h4 id="關鍵規(guī)則-基於HTML中上下文逃脫">關鍵規(guī)則：基於HTML中上下文逃脫</h4> <ul> <li> <strong>在文本內容中</strong>：使用html實體編碼（ <code> → <code> ， <code>></code> →→ <code>></code> ， <code>&</code> <code>&</code>等）。</code></code> </li> <li> <strong>在屬性中</strong>：仍使用實體編碼，但也可以確保逃脫引號（ <code>"</code> → <code>"</code> ）</li> <li> <strong>在JavaScript塊或事件處理程序中</strong>：這是一個<em>嵌套的上下文</em>- 您需要HTML和JavaScript逃脫</li> <li> <strong>在URL中（例如，HREF，SRC）</strong> ：驗證和消毒協(xié)議（Block <code>javascript:</code> ：）和必要</li> </ul> <h4 id="例子">例子：</h4><pre class='brush:php;toolbar:false;'> <！ - 不安全 - > <div> Hello <script> alert（'XSS'）</script> </div> <！ - HTML逃脫後的安全 - > <div> Hello＆lt; script＆gt; arter（'xss'）＆lt;/script＆gt; </div></pre><p> ？<strong>專家提示</strong>：使用模板引擎（例如Django模板，React或車把），默認情況下自動散發(fā)器 - 但驗證它們是上下文所感知的。切勿將<code>innerHTML</code>與原始用戶輸入一起使用。</p><hr /><h3 id="json輸出-注意腳本突破"> 2。 json輸出：注意腳本突破</h3><p>JSON通常被視為“安全”，因為它只是數(shù)據(jù) - 但是當嵌入HTML或在JavaScript解析的響應中時，它仍然可以導致XSS。 </p><img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/175364898550303.jpeg" class="lazy" alt="上下文是國王：HTML，JSON和SQL輸出的剪裁逃生策略" /><h4 id="關鍵規(guī)則-逃脫控製字符和對HTML敏感的字符">關鍵規(guī)則：逃脫控製字符和對HTML敏感的字符</h4><ul><li>Encode <code><</code> ， <code>></code> ， <code>&</code> as <code>\u003c</code> ， <code>\u003e</code> ， <code>\u0026</code>當JSON嵌入HTML中時（例如，在腳本標籤中）</li><li>始終設置正確的<code>Content-Type: application/json</code>防止啞劇型嗅探</li><li>Escape U 2028（線分隔符）和U 2029（段落分隔符） - 這些可能會破壞JavaScript解析器</li></ul><h4 id="例子">例子：</h4><pre class='brush:php;toolbar:false;'> //如果不逃脫的危險 <script> var userData = {“ name”：“ <script> alert> arter（1）</script>“}; </script> //適當逃脫的安全 var userData = {“ name”：“ \ u003cscript \ u003ealert（1）\ u003c/script \ u003e”};</pre><p> ？在JS，JSON_ENCODE（）中使用<code>JSON.stringify()</code>中的內置JSON Serializers（ <code>json_encode()</code>中的PHP等） -<em>如果正確使用，</em>它們可以正確處理大部分。但是，切勿從字符串中加入JSON，總是序列化結構化數(shù)據(jù)。</p><hr /><h3 id="SQL查詢-永遠不要相信字符串"> 3。 SQL查詢：永遠不要相信字符串</h3><p>SQL注入仍然是最大的脆弱性。問題？用戶輸入被解釋為可執(zhí)行代碼。</p><h4 id="關鍵規(guī)則-使用參數(shù)化查詢-不逃脫">關鍵規(guī)則：使用參數(shù)化查詢 - 不逃脫</h4><ul><li>忘記手動逃脫（例如<code>mysql_real_escape_string</code> ） - 容易出錯並且過時</li><li>使用<strong>已準備好的語句</strong>和<strong>參數(shù)化查詢</strong></li><li>參數(shù)與查詢結構分開發(fā)送，因此它們永遠不會被解析為SQL</li></ul><h4 id="示例-帶Psycopg-的Python">示例（帶Psycopg2的Python）：</h4><pre class='brush:php;toolbar:false;'> ＃危險 query = f“ select * select * where name ='{name}'” 游標 ＃?安全 cursor.execute（“ select * select * where name =％s”，（name，））</pre><p> ？ ?ORM庫（例如SQLalchemy，Django Orm或實體框架）也通過默認為安全模式來幫助您，但請注意RAW SQL部分。</p> <hr> <h3 id="摘要-將逃生與上下文相匹配">摘要：將逃生與上下文相匹配</h3> <table> <thead><tr> <th>情境</th> <th>主要威脅</th> <th>安全策略</th> </tr></thead> <tbody> <tr> <td>html</td> <td> XSS</td> <td>上下文感知的html逃脫；使用自動排列模板</td> </tr> <tr> <td>JSON</td> <td> html/js中的腳本注入</td> <td> <code>\u</code>逃脫了特殊的炭；始終使用JSON序列化器</td> </tr> <tr> <td>SQL</td> <td> SQL注入</td> <td>參數(shù)化查詢 - 從不字符串串聯(lián)</td> </tr> </tbody> </table> <p>您不能僅僅用一個功能“逃脫一切”，並將其稱為一天。相同的用戶輸入 - 例如， <code>O'Reilly <script>test</script></code> - 需求：</p> <ul> <li>在SQL中處理的撇號（通過參數(shù)）</li> <li> html中逃脫的標籤</li> <li>如果嵌入到頁面中，可能會逃脫在JSON中</li> </ul> <p><strong>底線</strong>：始終問：<em>這要去哪裡？</em>輸出上下文決定了防禦。做到這一點，您已經(jīng)領先於大多數(shù)違規(guī)行為。</p> <p>基本上，這不是要逃脫，而是要<strong>了解目的地的語言</strong>。</p>

以上是上下文是國王：HTML，JSON和SQL輸出的剪裁逃生策略的詳細內容。更多資訊請關注PHP中文網(wǎng)其他相關文章！