Web安全防护基础篇：HTML Injection - Reflected (GET)

现在大部分的网站数据提交用到了Form表单，而如果程序员在未对表单提交的数据进行验证时，会有那些危害性呢？

本文案例为Form表单的Get方式提交(Post提交也是同样的效果)，分为安全等级为低等，中等，高等三个层次进行说明。


1：安全等级-低等（未进行任何字符处理）

例如：

 <form action="<?php echo($_SERVER["SCRIPT_NAME"]);?>" method="GET">     <p><label for="firstname">First name:</label><br />     <input type="text" id="firstname" name="firstname"></p>     <p><label for="lastname">Last name:</label><br />     <input type="text" id="lastname" name="lastname"></p>     <button type="submit" name="form" value="submit">Go</button>  </form>

对应的PHP展示代码为：

<?php    if(isset($_GET["firstname"]) && isset($_GET["lastname"]))    {           $firstname = $_GET["firstname"];        $lastname = $_GET["lastname"];            if($firstname == "" or $lastname == "")        {            echo "<font color=\"red\">请输入必填的字段...</font>";               }        else                    {             echo "Welcome " . $firstname . " --- " . $lastname;           }    }?>

注意：在表单提交没有对用户输入的数据进行处理，并且在echo 的时候没有处理就打印到页面，那如果用户在文本框中输入类似代码：

<a href=http://www.baidu.com>Click Me</a>

那展示到页面的结果将会是 一个跳转到百度的Click Me链接，这种常见的入侵手段危害有多大呢？

参考：论坛发帖，我在一些重要的文字中加入这种代码，编写一段获取浏览器Cookie的代码等等，是不是就可以获取到你浏览器当中一些隐私信息呢？




2：安全等级-中等( 初级的字符处理 )

对输入参数进行urldecode，并将特殊字符处理

urldecode($firstname)urldecode($lastname)str_replace("<", "&lt;", $input);str_replace(">", "&gt;", $input);

如果在展示的时候按上面的处理方式处理了用户输入的值，那用户输入

<a href=http://www.baidu.com>Click Me</a>

在页面展示，还是

<a href=http://www.baidu.com>Click Me</a>

但是，我把对应的代码转成ASCII编码格式呢？

<a href=http://www.baidu.com>Click Me</a>

%3ca+href%3dhttp%3a%2f%2fwww.baidu.com%3eClick+Me%3c%2fa%3e

结果发现，在页面上输出的结果变成了，跳转到百度的链接，这就等于用户输入绕过了我的编码防范…

3：安全等级-高等（htmlspecialchars）

参考：https://www.zhihu.com/question/27646993

4：解决方案-MYSQLi

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');$stmt->bind_param('s', $name);$stmt->execute();$result = $stmt->get_result();while ($row = $result->fetch_assoc()) {    // do something with $row}

在采用方案3中的编码处理后，使用MYSQLi 方式来处理对数据库的操作是较为安全的防御措施。但是，网络攻防无绝对，世界上并没有永远攻不破的系统，关键是要为此付出多少代价而已。


警告：本系列文章所有涉及到的技术均不可用于非法用途，仅供学习/安全防范参考，如有违背，后果自负！