社群
學習
工具庫
AI工具
休閒
搜尋
繁体中文
目錄
1。 HTML輸出:當心注射點
關鍵規則:基於HTML中上下文逃脫
例子:
2。 json輸出:注意腳本突破
關鍵規則:逃脫控製字符和對HTML敏感的字符
3。 SQL查詢:永遠不要相信字符串
關鍵規則:使用參數化查詢 - 不逃脫
示例(帶Psycopg2的Python):
摘要:將逃生與上下文相匹配
首頁 後端開發 php教程 上下文是國王:HTML,JSON和SQL輸出的剪裁逃生策略

上下文是國王:HTML,JSON和SQL輸出的剪裁逃生策略

Karen Carpenter
Karen Carpenter
Jul 28, 2025 am 04:43 AM
PHP Escape Characters
<p>對於HTML輸出,請應用上下文感知逃脫:使用編碼文本和屬性的HTML實體,並與腳本中的JavaScript Escaps結合; 2。對於JSON,始終使用內置的序列化器並逃脫特殊字符,例如嵌入在HTML中時,以防止腳本突破; 3。對於SQL,使用參數化查詢或ORM而不是手動逃脫以防止SQL注入;相同的輸入需要根據上下文的不同保護,因此請務必根據目的地語言定制防禦,並確保適當的輸出處理以避免安全漏洞。 </p> <p><img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/175364898234231.jpg" class="lazy" alt="上下文是國王:HTML,JSON和SQL輸出的剪裁逃生策略"></p> <p>在構建Web應用程序時,不可避免地生成動態輸出 - 無論是在HTML中渲染用戶數據,使用JSON服務API,還是在SQL數據庫中存儲信息。但這是捕獲:<strong>在不同情況下,相同的數據可能是危險的</strong>。在JSON中完全安全的繩子可能是HTML的滴答時間炸彈。這就是為什麼逃避一般逃脫的原因。<strong>背景是國王</strong>- 您的逃生策略必須相應適應。 </p> <img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/175364898389353.jpeg" class="lazy" alt="上下文是國王:HTML,JSON和SQL輸出的剪裁逃生策略"><p>讓我們分解如何以及為什麼在HTML,JSON和SQL上逃脫的方式以及您實際上應該採取的措施來保持安全。</p> <hr> <h3 id="HTML輸出-當心注射點"> 1。 HTML輸出:當心注射點</h3> <p>當將用戶生成的內容插入HTML時,主要威脅是<strong>跨站點腳本(XSS)</strong> 。危險在於數據的放置方式和位置。 </p> <img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/175364898481960.jpeg" class="lazy" alt="上下文是國王:HTML,JSON和SQL輸出的剪裁逃生策略"><h4 id="關鍵規則-基於HTML中上下文逃脫">關鍵規則:基於HTML中上下文逃脫</h4> <ul> <li> <strong>在文本內容中</strong>:使用html實體編碼( <code> → <code> , <code>></code> →→ <code>></code> , <code>&</code> <code>&</code>等)。</code></code> </li> <li> <strong>在屬性中</strong>:仍使用實體編碼,但也可以確保逃脫引號( <code>"</code> → <code>"</code> )</li> <li> <strong>在JavaScript塊或事件處理程序中</strong>:這是一個<em>嵌套的上下文</em>- 您需要HTML和JavaScript逃脫</li> <li> <strong>在URL中(例如,HREF,SRC)</strong> :驗證和消毒協議(Block <code>javascript:</code> :)和必要</li> </ul> <h4 id="例子">例子:</h4><pre class='brush:php;toolbar:false;'> <! - 不安全 - > <div> Hello <script> alert('XSS')</script> </div> <! - HTML逃脫後的安全 - > <div> Hello< script> arter('xss')</script> </div></pre><p> ?<strong>專家提示</strong>:使用模板引擎(例如Django模板,React或車把),默認情況下自動散發器 - 但驗證它們是上下文所感知的。切勿將<code>innerHTML</code>與原始用戶輸入一起使用。</p><hr /><h3 id="json輸出-注意腳本突破"> 2。 json輸出:注意腳本突破</h3><p>JSON通常被視為“安全”,因為它只是數據 - 但是當嵌入HTML或在JavaScript解析的響應中時,它仍然可以導致XSS。 </p><img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/175364898550303.jpeg" class="lazy" alt="上下文是國王:HTML,JSON和SQL輸出的剪裁逃生策略" /><h4 id="關鍵規則-逃脫控製字符和對HTML敏感的字符">關鍵規則:逃脫控製字符和對HTML敏感的字符</h4><ul><li>Encode <code><</code> , <code>></code> , <code>&</code> as <code>\u003c</code> , <code>\u003e</code> , <code>\u0026</code>當JSON嵌入HTML中時(例如,在腳本標籤中)</li><li>始終設置正確的<code>Content-Type: application/json</code>防止啞劇型嗅探</li><li>Escape U 2028(線分隔符)和U 2029(段落分隔符) - 這些可能會破壞JavaScript解析器</li></ul><h4 id="例子">例子:</h4><pre class='brush:php;toolbar:false;'> //如果不逃脫的危險 <script> var userData = {“ name”:“ <script> alert> arter(1)</script>“}; </script> //適當逃脫的安全 var userData = {“ name”:“ \ u003cscript \ u003ealert(1)\ u003c/script \ u003e”};</pre><p> ?在JS,JSON_ENCODE()中使用<code>JSON.stringify()</code>中的內置JSON Serializers( <code>json_encode()</code>中的PHP等) -<em>如果正確使用,</em>它們可以正確處理大部分。但是,切勿從字符串中加入JSON,總是序列化結構化數據。</p><hr /><h3 id="SQL查詢-永遠不要相信字符串"> 3。 SQL查詢:永遠不要相信字符串</h3><p>SQL注入仍然是最大的脆弱性。問題?用戶輸入被解釋為可執行代碼。</p><h4 id="關鍵規則-使用參數化查詢-不逃脫">關鍵規則:使用參數化查詢 - 不逃脫</h4><ul><li>忘記手動逃脫(例如<code>mysql_real_escape_string</code> ) - 容易出錯並且過時</li><li>使用<strong>已準備好的語句</strong>和<strong>參數化查詢</strong></li><li>參數與查詢結構分開發送,因此它們永遠不會被解析為SQL</li></ul><h4 id="示例-帶Psycopg-的Python">示例(帶Psycopg2的Python):</h4><pre class='brush:php;toolbar:false;'> #危險 query = f“ select * select * where name ='{name}'” 游標 #✅安全 cursor.execute(“ select * select * where name =%s”,(name,))</pre><p> ? ORM庫(例如SQLalchemy,Django Orm或實體框架)也通過默認為安全模式來幫助您,但請注意RAW SQL部分。</p> <hr> <h3 id="摘要-將逃生與上下文相匹配">摘要:將逃生與上下文相匹配</h3> <table> <thead><tr> <th>情境</th> <th>主要威脅</th> <th>安全策略</th> </tr></thead> <tbody> <tr> <td>html</td> <td> XSS</td> <td>上下文感知的html逃脫;使用自動排列模板</td> </tr> <tr> <td>JSON</td> <td> html/js中的腳本注入</td> <td> <code>\u</code>逃脫了特殊的炭;始終使用JSON序列化器</td> </tr> <tr> <td>SQL</td> <td> SQL注入</td> <td>參數化查詢 - 從不字符串串聯</td> </tr> </tbody> </table> <p>您不能僅僅用一個功能“逃脫一切”,並將其稱為一天。相同的用戶輸入 - 例如, <code>O'Reilly <script>test</script></code> - 需求:</p> <ul> <li>在SQL中處理的撇號(通過參數)</li> <li> html中逃脫的標籤</li> <li>如果嵌入到頁面中,可能會逃脫在JSON中</li> </ul> <p><strong>底線</strong>:始終問:<em>這要去哪裡?</em>輸出上下文決定了防禦。做到這一點,您已經領先於大多數違規行為。</p> <p>基本上,這不是要逃脫,而是要<strong>了解目的地的語言</strong>。</p>

以上是上下文是國王:HTML,JSON和SQL輸出的剪裁逃生策略的詳細內容。更多資訊請關注PHP中文網其他相關文章!

本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn

熱AI工具

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

顯示更多

熱門文章

Rimworld Odyssey溫度指南和Gravtech
4 週前 By Jack chen
Mejiro Ryan Build Guide |烏瑪媽媽漂亮的德比
1 個月前 By Jack chen
Rimworld Odyssey如何釣魚
4 週前 By Jack chen
外國用戶在支付寶上有什麼交易限制?
1 個月前 By 下次还敢
如何故障排除'連接拒絕”錯誤?
1 個月前 By 百草
顯示更多

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強大的PHP整合開發環境

Dreamweaver CS6

Dreamweaver CS6

視覺化網頁開發工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

顯示更多

熱門話題

Laravel 教程
1602
29
PHP教程
1505
276
顯示更多
Related knowledge
導航後衛地獄:深入研究`preg_quote()`and Regex逃脫 導航後衛地獄:深入研究`preg_quote()`and Regex逃脫 Jul 26, 2025 am 09:51 AM

preg_quote()escapesregex-specialcharacters,includingbackslashesandthedelimiter,totreatthemasliterals;2.avoiddouble-escapingbypassingrawstrings(e.g.,'C:\path')withoutpre-escapedbackslashes;3.useforwardslashesinpathswhenpossibletoreducebackslashclutter

PHP的Heredoc和Nowdoc語法中的逃生角色行為 PHP的Heredoc和Nowdoc語法中的逃生角色行為 Jul 26, 2025 am 09:45 AM

Heredoc處理變量插值和基本轉義序列如\n、\t、\\、\$,但不處理\"或\',而Nowdoc不進行變量插值和任何轉義處理,所有內容包括\n和變量均按字面輸出;1.Heredoc中變量如$name會被替換,\\n被解析為換行;2.Nowdoc中$name和\n均保持原樣;3.兩者都不需要轉義引號;4.結束標識符必須獨占一行且無前導空格,PHP7.3 允許使用空格縮進結束標識符。因此Heredoc適用於需格式化的多行字符串,Nowdoc適合輸出原始內容如SQL或JavaScript

現代php逃脫的模式,用於安全和乾淨的代碼 現代php逃脫的模式,用於安全和乾淨的代碼 Jul 26, 2025 am 09:51 AM

始終escapeOutputingContext-SpecificMethods:htmlspecialchars()forhtmlContentAntAttributes,rawurlencode()forurls,andjson_en code()withjson_hex_tag,json_hex_apos,json_hex_quot,andjson_unescaped_unicodeodeforjavascript.2.usetemplatingenginesliketwig,lara

單與雙引號:逃脫角色行為的權威指南 單與雙引號:逃脫角色行為的權威指南 Jul 28, 2025 am 04:44 AM

inbash,單quotestareatallacharacterslitellywhiledbouldequotesallaibal -expansionandlimitedescaping; inpythonandjavascript,bothequotetypespeshandleescapestamisame,witheChoIceMainallyablectringingingablectringingablectingabilitingabilitingabilityabilityance and Concencenience and conconvenienceWhenembednembeddingdingdingdingdingdingdingdingdingdingdoquote,souseseSingLelequote

強化您的觀點:`htmlspecialchars()的關鍵作用在防止XSS中 強化您的觀點:`htmlspecialchars()的關鍵作用在防止XSS中 Jul 29, 2025 am 04:57 AM

htmlspecialchars()是防止XSS攻擊的首要防線,它將特殊字符轉換為HTML實體,確保用戶輸入的內容被瀏覽器視為純文本而非可執行代碼。 1.使用時必須指定字符編碼(如'UTF-8')以避免解析漏洞;2.始終啟用ENT_QUOTES標誌以轉義單引號和雙引號,防止屬性上下文中的注入;3.應在輸出時轉義而非存儲時,避免數據固化和重複轉義;4.不能單獨依賴它防御所有XSS,需結合urlencode()處理URL、json_encode()處理JavaScript數據,並對富文本使用HTMLP

比較分析:'addslashes()`vs.htmlspecialchars() 比較分析:'addslashes()`vs.htmlspecialchars() Jul 27, 2025 am 04:27 AM

addslashes()應避免用於SQL轉義,因為它不安全且不防SQL注入;htmlspecialchars()用於HTML輸出以防止XSS攻擊;mysqli_real_escape_string()可用於MySQL查詢中的字符串轉義,但僅在無法使用預處理語句時作為次優選擇。 1.addslashes()是過時且不安全的,不應在現代應用中用於SQL轉義;2.htmlspecialchars()應在將用戶輸入輸出到HTML時使用,以防止XSS;3.mysqli_real_escape_string(

超越' addslashes()” 超越' addslashes()” Jul 26, 2025 am 02:55 AM

SQL注入防護不能依賴addslashes(),因其不處理多字節編碼且僅轉義有限字符,易被繞過;應使用預處理語句(如PDO或MySQLi的參數化查詢)將數據與SQL邏輯分離,確保輸入不被解析為代碼;若無法使用預處理,需根據上下文采用數據庫特定的轉義函數(如real_escape_string並設置正確字符集)、標識符白名單或引號包裹、整型輸入強制類型轉換等方法,實現分層防禦。

逃脫者:在PHP字符串和路徑中處理字面的後斜線 逃脫者:在PHP字符串和路徑中處理字面的後斜線 Jul 26, 2025 am 09:35 AM

sotofixthis:1.sissinglequotequotesforliteralathslike'c:\ users \ users \ john \ documents',2.DoublethebackSlashEsIndBookSindoublequotquoteSess'c:c:c:c:

See all articles