Web安全防护基础篇：HTML Injection - Reflected (GET)

现在大部分的网站数据提交用到了Form表单，而如果程序员在未对表单提交的数据进行验证时，会有那些危害性呢？

本文案例为Form表单的Get方式提交(Post提交也是同样的效果)，分为安全等级为低等，中等，高等三个层次进行说明。


1：安全等级-低等（未进行任何字符处理）

例如：

 <form action="SCRIPT_NAME"]);?>" method="GET">
     <p><label for="firstname">First name:label><br />
     <input type="text" id="firstname" name="firstname">p>
     <p><label for="lastname">Last name:label><br />
     <input type="text" id="lastname" name="lastname">p>
     <button type="submit" name="form" value="submit">Gobutton>  
form>

对应的PHP展示代码为：

    if(isset($_GET["firstname"]) && isset($_GET["lastname"]))
    {   
        $firstname = $_GET["firstname"];
        $lastname = $_GET["lastname"];    
        if($firstname == "" or $lastname == "")
        {
            echo "请输入必填的字段...";       
        }

        else            
        { 
            echo "Welcome " . $firstname . " --- " . $lastname;   
        }
    }
?>

注意：在表单提交没有对用户输入的数据进行处理，并且在echo 的时候没有处理就打印到页面，那如果用户在文本框中输入类似代码：

<a href=http://www.baidu.com>Click Mea>

那展示到页面的结果将会是 一个跳转到百度的Click Me链接，这种常见的入侵手段危害有多大呢？

参考：论坛发帖，我在一些重要的文字中加入这种代码，编写一段获取浏览器Cookie的代码等等，是不是就可以获取到你浏览器当中一些隐私信息呢？




2：安全等级-中等( 初级的字符处理 )

对输入参数进行urldecode，并将特殊字符处理

urldecode($firstname)
urldecode($lastname)
str_replace("<", "<", $input);
str_replace(">", ">", $input);

如果在展示的时候按上面的处理方式处理了用户输入的值，那用户输入

<a href=http://www.baidu.com>Click Mea>

在页面展示，还是

<a href=http://www.baidu.com>Click Mea>

但是，我把对应的代码转成ASCII编码格式呢？

<a href=http://www.baidu.com>Click Mea>

%3ca+href%3dhttp%3a%2f%2fwww.baidu.com%3eClick+Me%3c%2fa%3e

结果发现，在页面上输出的结果变成了，跳转到百度的链接，这就等于用户输入绕过了我的编码防范…

3：安全等级-高等（htmlspecialchars）

参考：https://www.zhihu.com/question/27646993

4：解决方案-MYSQLi

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);

$stmt->execute();

$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // do something with $row
}

在采用方案3中的编码处理后，使用MYSQLi 方式来处理对数据库的操作是较为安全的防御措施。但是，网络攻防无绝对，世界上并没有永远攻不破的系统，关键是要为此付出多少代价而已。


警告：本系列文章所有涉及到的技术均不可用于非法用途，仅供学习/安全防范参考，如有违背，后果自负！