特定のタイプのHTMLタグを許可しながら、SQLインジェクションとXSS攻撃のユーザー入力をサニタイズするために適切に機能するキャッチオール関数はどこにありますか？

ユーザー入力をフィルタリングできるというのはよくある誤解です。PHPには、このアイデアに基づいて作成されたmagic-quotesと呼ばれる（現在は非推奨の）「機能」もあります。それはナンセンスです。フィルタリング（またはクリーニング、または他の人が呼ぶもの）を忘れてください。

問題を回避するためにすべきことは非常に簡単です。外部コード内に文字列を埋め込むときはいつでも、その言語の規則に従って、文字列をエスケープする必要があります。たとえば、MySQLをターゲットとするSQLに文字列を埋め込む場合、この目的のためにMySQLの関数で文字列をエスケープする必要があります（mysqli_real_escape_string）。（または、データベースの場合、可能であれば、準備済みステートメントを使用する方がより良いアプローチです。）

別の例はHTMLです。HTMLマークアップ内に文字列を埋め込む場合は、でエスケープする必要がありますhtmlspecialchars。つまり、すべてのechoor printステートメントでを使用する必要がありますhtmlspecialchars。

3番目の例はシェルコマンドです。外部コマンドに文字列（引数など）を埋め込み、それらをexecで呼び出す場合は、escapeshellcmdおよびを使用する必要がありescapeshellargます。

などなど...

唯一あなたがプリフォーマット入力を受け付けている場合は、積極的にフィルタデータを必要とする場合は、です。たとえば、ユーザーにHTMLマークアップの投稿を許可した場合、そのマークアップをサイトに表示することを計画します。ただし、これをどのようにうまくフィルタリングしても、常にセキュリティホールになる可能性があるため、これを絶対に回避することをお勧めします。

入力データをサニタイズしてSQLインジェクションを防止しようとしないでください。

代わりに、SQLコードの作成にデータの使用を許可しないでください。バインドされた変数を使用する準備済みステートメントを使用します（つまり、テンプレートクエリのパラメーターを使用します）。これは、SQLインジェクションに対して保証される唯一の方法です。

SQLインジェクションの防止の詳細については、私のWebサイトhttp://bobby-tables.com/を参照してください。

いいえ。データの目的に関するコンテキストがなければ、データを一般的にフィルター処理することはできません。入力としてSQLクエリを使用したい場合と、入力としてHTMLを使用したい場合があります。

ホワイトリストで入力をフィルタリングする必要があります-データが期待どおりの仕様に一致することを確認してください。次に、それを使用するコンテキストに応じて、使用する前にエスケープする必要があります。

SQLのデータをエスケープするプロセス（SQLインジェクションを防ぐため）は、XSSを防ぐための（X）HTMLのデータをエスケープするプロセスとは大きく異なります。

PHPには新しい素敵なfilter_input関数が追加されました。たとえば、組み込みのFILTER_VALIDATE_EMAILタイプがあるため、「究極の電子メールの正規表現」を見つける必要がなくなります。

私の独自のフィルタークラス（JavaScriptを使用してエラーのあるフィールドを強調表示）は、ajaxリクエストまたは通常のフォームポストによって開始できます。（以下の例を参照）

/**
 *  Pork.FormValidator
 *  Validates arrays or properties by setting up simple arrays. 
 *  Note that some of the regexes are for dutch input!
 *  Example:
 * 
 *  $validations = array('name' => 'anything','email' => 'email','alias' => 'anything','pwd'=>'anything','gsm' => 'phone','birthdate' => 'date');
 *  $required = array('name', 'email', 'alias', 'pwd');
 *  $sanitize = array('alias');
 *
 *  $validator = new FormValidator($validations, $required, $sanitize);
 *                  
 *  if($validator->validate($_POST))
 *  {
 *      $_POST = $validator->sanitize($_POST);
 *      // now do your saving, $_POST has been sanitized.
 *      die($validator->getScript()."<script type='text/javascript'>alert('saved changes');</script>");
 *  }
 *  else
 *  {
 *      die($validator->getScript());
 *  }   
 *  
 * To validate just one element:
 * $validated = new FormValidator()->validate('blah@bla.', 'email');
 * 
 * To sanitize just one element:
 * $sanitized = new FormValidator()->sanitize('<b>blah</b>', 'string');
 * 
 * @package pork
 * @author SchizoDuckie
 * @copyright SchizoDuckie 2008
 * @version 1.0
 * @access public
 */
class FormValidator
{
    public static $regexes = Array(
            'date' => "^[0-9]{1,2}[-/][0-9]{1,2}[-/][0-9]{4}\$",
            'amount' => "^[-]?[0-9]+\$",
            'number' => "^[-]?[0-9,]+\$",
            'alfanum' => "^[0-9a-zA-Z ,.-_\\s\?\!]+\$",
            'not_empty' => "[a-z0-9A-Z]+",
            'words' => "^[A-Za-z]+[A-Za-z \\s]*\$",
            'phone' => "^[0-9]{10,11}\$",
            'zipcode' => "^[1-9][0-9]{3}[a-zA-Z]{2}\$",
            'plate' => "^([0-9a-zA-Z]{2}[-]){2}[0-9a-zA-Z]{2}\$",
            'price' => "^[0-9.,]*(([.,][-])|([.,][0-9]{2}))?\$",
            '2digitopt' => "^\d+(\,\d{2})?\$",
            '2digitforce' => "^\d+\,\d\d\$",
            'anything' => "^[\d\D]{1,}\$"
    );
    private $validations, $sanatations, $mandatories, $errors, $corrects, $fields;


    public function __construct($validations=array(), $mandatories = array(), $sanatations = array())
    {
        $this->validations = $validations;
        $this->sanitations = $sanitations;
        $this->mandatories = $mandatories;
        $this->errors = array();
        $this->corrects = array();
    }

    /**
     * Validates an array of items (if needed) and returns true or false
     *
     */
    public function validate($items)
    {
        $this->fields = $items;
        $havefailures = false;
        foreach($items as $key=>$val)
        {
            if((strlen($val) == 0 || array_search($key, $this->validations) === false) && array_search($key, $this->mandatories) === false) 
            {
                $this->corrects[] = $key;
                continue;
            }
            $result = self::validateItem($val, $this->validations[$key]);
            if($result === false) {
                $havefailures = true;
                $this->addError($key, $this->validations[$key]);
            }
            else
            {
                $this->corrects[] = $key;
            }
        }

        return(!$havefailures);
    }

    /**
     *
     *  Adds unvalidated class to thos elements that are not validated. Removes them from classes that are.
     */
    public function getScript() {
        if(!empty($this->errors))
        {
            $errors = array();
            foreach($this->errors as $key=>$val) { $errors[] = "'INPUT[name={$key}]'"; }

            $output = '$$('.implode(',', $errors).').addClass("unvalidated");'; 
            $output .= "new FormValidator().showMessage();";
        }
        if(!empty($this->corrects))
        {
            $corrects = array();
            foreach($this->corrects as $key) { $corrects[] = "'INPUT[name={$key}]'"; }
            $output .= '$$('.implode(',', $corrects).').removeClass("unvalidated");';   
        }
        $output = "<script type='text/javascript'>{$output} </script>";
        return($output);
    }


    /**
     *
     * Sanitizes an array of items according to the $this->sanitations
     * sanitations will be standard of type string, but can also be specified.
     * For ease of use, this syntax is accepted:
     * $sanitations = array('fieldname', 'otherfieldname'=>'float');
     */
    public function sanitize($items)
    {
        foreach($items as $key=>$val)
        {
            if(array_search($key, $this->sanitations) === false && !array_key_exists($key, $this->sanitations)) continue;
            $items[$key] = self::sanitizeItem($val, $this->validations[$key]);
        }
        return($items);
    }


    /**
     *
     * Adds an error to the errors array.
     */ 
    private function addError($field, $type='string')
    {
        $this->errors[$field] = $type;
    }

    /**
     *
     * Sanitize a single var according to $type.
     * Allows for static calling to allow simple sanitization
     */
    public static function sanitizeItem($var, $type)
    {
        $flags = NULL;
        switch($type)
        {
            case 'url':
                $filter = FILTER_SANITIZE_URL;
            break;
            case 'int':
                $filter = FILTER_SANITIZE_NUMBER_INT;
            break;
            case 'float':
                $filter = FILTER_SANITIZE_NUMBER_FLOAT;
                $flags = FILTER_FLAG_ALLOW_FRACTION | FILTER_FLAG_ALLOW_THOUSAND;
            break;
            case 'email':
                $var = substr($var, 0, 254);
                $filter = FILTER_SANITIZE_EMAIL;
            break;
            case 'string':
            default:
                $filter = FILTER_SANITIZE_STRING;
                $flags = FILTER_FLAG_NO_ENCODE_QUOTES;
            break;

        }
        $output = filter_var($var, $filter, $flags);        
        return($output);
    }

    /** 
     *
     * Validates a single var according to $type.
     * Allows for static calling to allow simple validation.
     *
     */
    public static function validateItem($var, $type)
    {
        if(array_key_exists($type, self::$regexes))
        {
            $returnval =  filter_var($var, FILTER_VALIDATE_REGEXP, array("options"=> array("regexp"=>'!'.self::$regexes[$type].'!i'))) !== false;
            return($returnval);
        }
        $filter = false;
        switch($type)
        {
            case 'email':
                $var = substr($var, 0, 254);
                $filter = FILTER_VALIDATE_EMAIL;    
            break;
            case 'int':
                $filter = FILTER_VALIDATE_INT;
            break;
            case 'boolean':
                $filter = FILTER_VALIDATE_BOOLEAN;
            break;
            case 'ip':
                $filter = FILTER_VALIDATE_IP;
            break;
            case 'url':
                $filter = FILTER_VALIDATE_URL;
            break;
        }
        return ($filter === false) ? false : filter_var($var, $filter) !== false ? true : false;
    }       



}

もちろん、使用しているデータベースのタイプに応じて、SQLクエリのエスケープも行う必要があることを覚えておいてください（たとえば、mysqlサーバーでは、mysql_real_escape_string（）は役に立たない）。おそらく、ORMのような適切なアプリケーション層でこれを自動的に処理する必要があります。また、上記のように：htmlに出力するには、htmlspecialcharsのような他のphp専用関数を使用してください;）

削除されたクラスやタグのようなHTML入力を実際に許可するには、専用のxss検証パッケージの1つに依存します。HTMLを解析するために独自の正規表現を記述しないでください！

いいえ、ありません。

まず第一に、SQLインジェクションは入力フィルタリングの問題であり、XSSは出力をエスケープする問題なので、コードのライフサイクルでこれら2つの操作を同時に実行することすらありません。

基本的な経験則

• SQLクエリの場合は、パラメーターをバインド（PDOと同様）するか、クエリ変数（などmysql_real_escape_string()）にドライバー固有のエスケープ関数を使用します
• strip_tags()不要なHTMLを除外するために使用します
• 他のすべての出力をエスケープしhtmlspecialchars()、ここで2番目と3番目のパラメーターに注意してください。

XSSの問題に対処するには、HTML Purifierをご覧ください。それはかなり構成可能で、まともな実績があります。

SQLインジェクション攻撃については、ユーザー入力を確認してから、mysql_real_escape_string（）を使用して実行してください。ただし、この関数はすべての注入攻撃を無効にするわけではないため、クエリ文字列にダンプする前にデータを確認することが重要です。

より良い解決策は、準備されたステートメントを使用することです。PDOライブラリとmysqli拡張モジュールはこれらをサポートしています。

PHP 5.2でfilter_var関数が導入されました。

これは、多くのSANITIZE、VALIDATEフィルターをサポートしています。

http://php.net/manual/en/function.filter-var.php

次のようなページが/mypage?id=53あり、WHERE句でIDを使用する特定の状況で役立つ1つのトリックは、IDが確実に整数であることを確認することです。

if (isset($_GET['id'])) {
  $id = $_GET['id'];
  settype($id, 'integer');
  $result = mysql_query("SELECT * FROM mytable WHERE id = '$id'");
  # now use the result
}

もちろん、これは特定の攻撃を1つだけカットするので、他のすべての答えを読んでください。（そして、はい、上のコードはすばらしいものではないことはわかっていますが、特定の防御策を示しています。）

PHPでユーザー入力をサニタイズする方法：

• MySQLとPHPの最新バージョンを使用します。

• 文字セットを明示的に設定します。

  • $ mysqli-> set_charset（ "utf8"）;

    ^{マニュアル}

  • $ pdo = new PDO（ 'mysql：host = localhost; dbname = testdb; charset = UTF8'、$ user、$ password）;

    ^{マニュアル}

  • $ pdo-> exec（ "set names utf8"）;

    ^{マニュアル}

  • $ pdo =新しいPDO（
    "mysql：host = $ host; dbname = $ db"、$ user、$ pass、 
    アレイ（
    PDO :: ATTR_ERRMODE => PDO :: ERRMODE_EXCEPTION、
    PDO :: MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8"
    ）
    ）;

    ^{マニュアル}

  • mysql_set_charset（ 'utf8'）

    ^{[PHP 5.5.0で廃止、PHP 7.0.0で削除]。}

• 安全な文字セットを使用する：

  • utf8、latin1、asciiを選択します。脆弱な文字セットbig5、cp932、gb2312、gbk、sjisを使用しないでください。

• 空間化関数を使用する：

  • MySQLiが準備したステートメント：
    

    $ stmt = $ mysqli-> prepare（ 'SELECT * FROM test WHERE name =？LIMIT 1'）; 
    $ param = "'OR 1 = 1 / *"; 
    $ stmt-> bind_param（ 's'、$ param）; 
    $ stmt-> execute（）;

  • PDO :: quote（） -基になるドライバーに適した引用スタイルを使用して、入力文字列を（必要に応じて）引用符で囲み、入力文字列内の特殊文字をエスケープします。
    

    $ pdo = new PDO（ 'mysql：host = localhost; dbname = testdb; charset = UTF8'、$ user、$ password）; 文字セットを明示的に設定
     $ pdo-> setAttribute（PDO :: ATTR_EMULATE_PREPARES、false）; MySQLがネイティブに準備できないステートメントのエミュレーションへのフォールバックを防ぐために準備されたステートメントのエミュレーションを無効にします（インジェクションを防ぐために）
     $ var = $ pdo-> quote（ "'OR 1 = 1 / *"）; リテラルをエスケープするだけでなく、それを引用符で囲みます（一重引用符 '文字で）
    $ stmt = $ pdo-> query（ "SELECT * FROM test WHERE name = $ var LIMIT 1"）;
    

  • PDOの準備済みステートメント：vs MySQLiの準備済みステートメントは、より多くのデータベースドライバーと名前付きパラメーターをサポートしています。
    

    $ pdo = new PDO（ 'mysql：host = localhost; dbname = testdb; charset = UTF8'、$ user、$ password）; 文字セットを明示的に設定
     $ pdo-> setAttribute（PDO :: ATTR_EMULATE_PREPARES、false）; MySQLがネイティブで準備できないステートメントのエミュレーションへのフォールバックを防ぐために準備されたステートメントのエミュレーションを無効にします（インジェクションを防ぐため）
    $ stmt = $ pdo-> prepare（ 'SELECT * FROM test WHERE name =？LIMIT 1'）;
    $ stmt-> execute（["'OR 1 = 1 / *"]）;

  • mysql_real_escape_string ^{[PHP 5.5.0で廃止、PHP 7.0.0で削除]}
  • mysqli_real_escape_string接続の現在の文字セットを考慮して、SQLステートメントで使用するために文字列内の特殊文字をエスケープします。しかし、準備されたステートメントは単にエスケープされた文字列ではないため、ステートメントを使用することをお勧めします。ステートメントは、使用するテーブルとインデックスを含む完全なクエリ実行プランを作成します。これは最適化された方法です。
  • クエリ内の変数を一重引用符（ ''）で囲みます。

• 変数に期待どおりのものが含まれていることを確認します。

  • 整数が必要な場合は、次を使用します。

    ctype_digit —数字かどうかを確認します。
    $ value =（int）$ value; 
    $ value = intval（$ value）; 
    $ var = filter_var（ '0755'、FILTER_VALIDATE_INT、$ options）;

  • 文字列の場合：

    is_string（）-変数のタイプがストリングかどうかを調べる

    
    フィルター機能を使用する filter_var（）を —指定したフィルターで変数をフィルターします。
    

    $ email = filter_var（$ email、FILTER_SANITIZE_EMAIL）; 
    $ newstr = filter_var（$ str、FILTER_SANITIZE_STRING）;

    より多くの定義済みフィルター
    
  • filter_input（） —特定の外部変数を名前で取得し、オプションでそれをフィルタリングします。

    $ search_html = filter_input（INPUT_GET、 'search'、FILTER_SANITIZE_SPECIAL_CHARS）;

  • preg_match（） —正規表現一致を実行します。
    
  • 独自の検証関数を記述します。

ここで説明しているのは、2つの別個の問題です。

1. ユーザー入力データの無害化/フィルタリング。
2. 出力をエスケープします。

1）ユーザー入力は常に悪いと見なされるべきです。

準備されたステートメント、またはmysql_real_escape_stringでのフィルタリング、あるいはその両方を使用することは間違いなく必須です。PHPにはfilter_inputも組み込まれており、開始するのに適しています。

2）これは大きなトピックであり、出力されるデータのコンテキストによって異なります。HTMLには、htmlpurifierなどのソリューションがあります。経験則として、出力するものは常にエスケープしてください。

どちらの問題も大きすぎて1つの投稿で扱うことはできませんが、詳細を説明する投稿は多数あります。

メソッドPHP出力

より安全なPHP出力

PostgreSQLを使用している場合、PHPからの入力はpg_escape_string（）でエスケープできます

 $username = pg_escape_string($_POST['username']);

ドキュメントから（http://php.net/manual/es/function.pg-escape-string.php）：

pg_escape_string（）は、データベースをクエリするための文字列をエスケープします。エスケープされた文字列を引用符なしのPostgreSQL形式で返します。

対処する必要がある複数の懸念があるため、キャッチオール機能はありません。

1. SQLインジェクション -今日、一般に、すべてのPHPプロジェクトはPHPデータオブジェクト（PDO）を介して準備されたステートメントをベストプラクティスとして使用する必要があります。。また、データベースにアクセスするための最も柔軟で安全な方法でもあります。

   （唯一の適切な）PDOチュートリアルをチェックして、PDOについて知っておく必要があるほとんどすべてのことを確認してください。（この件に関するこのすばらしいリソースを提供してくれたSOのトップ貢献者である@YourCommonSenseに心から感謝します。）

2. XSS-途中でデータを無害化...

   • HTML Purifierは古くからあり、現在も積極的に更新されています。これを使用して、タグの寛大で構成可能なホワイトリストを許可しながら、悪意のある入力を無害化できます。多くのWYSIWYGエディターでうまく機能しますが、一部のユースケースでは重くなる場合があります。

   • HTML / Javascriptをまったく受け入れたくない他のインスタンスでは、この単純な関数が便利であることがわかりました（XSSに対する複数の監査に合格しています）。

     /* Prevent XSS input */ function sanitizeXSS () { $_GET = filter_input_array(INPUT_GET, FILTER_SANITIZE_STRING); $_POST = filter_input_array(INPUT_POST, FILTER_SANITIZE_STRING); $_REQUEST = (array)$_POST + (array)$_GET + (array)$_REQUEST; }

3. XSS-途中でデータをサニタイズ...データベースに追加する前にデータが適切にサニタイズされることが保証されていない限り、ユーザーに表示する前にサニタイズする必要があります。これらの便利なPHP関数を利用できます。

   • を呼び出すechoかprint、ユーザー指定の値を表示htmlspecialcharsするには、データが安全に適切にサニタイズされ、HTMLの表示が許可されている場合を除き、使用します。
   • json_encode PHPからJavaScriptにユーザー指定の値を提供する安全な方法です

4. exec()またはsystem()関数を使用して、またはbacktickオペレーターに外部シェルコマンドを呼び出しますか？その場合、SQLインジェクションとXSSに加えて、サーバー上で悪意のあるコマンドを実行しているユーザーに対処するという追加の懸念がある可能性があります。escapeshellcmdコマンド全体をエスケープする場合、またはescapeshellarg個々の引数をエスケープする場合に使用する必要があります。

入力のサニタイズとデータのエスケープのミスを回避する最も簡単な方法は、Symfony、NetteなどのPHPフレームワークまたはそのフレームワークの一部（テンプレートエンジン、データベースレイヤー、ORM）を使用することです。

TwigやLatteのようなテンプレートエンジンは、デフォルトで出力をエスケープします。コンテキスト（WebページのHTMLまたはJavascriptの部分）に応じて出力を適切にエスケープしていれば、手動で解決する必要はありません。

フレームワークは入力を自動的にサニタイズしているため、$ _ POST、$ _ GET、または$ _SESSION変数を直接使用するのではなく、ルーティング、セッション処理などのメカニズムを使用する必要があります。

データベース（モデル）レイヤーには、DoctrineのようなORMフレームワークや、Nette DatabaseのようなPDOのラッパーがあります。

あなたはそれについてもっと読むことができます- ソフトウェアフレームワークとは何ですか？

php DOMDocumentを使用してhtml出力を作成すると、適切なコンテキストで自動的にエスケープされます。属性（value = ""）と<span>の内部テキストが等しくありません。XSSに対して安全であるためにこれを読んでください： OWASP XSS防止チートシート

入力を無害化することはありません。

常に出力をサニタイズします。

SQLステートメントに含めるためにデータを安全に変換するために適用する変換は、HTMLに含めるために適用するものとは完全に異なり、Javascriptに含めるために適用するものとは完全に異なり、LDIFに含めるために適用するものとはまったく異なります。 CSSへの組み込みに適用するものとは完全に異なり、Eメールへの組み込みに適用するものとは完全に異なります。

必ず入力を検証してください-さらなる処理のためにそれを受け入れる必要があるか、それとも受け入れられないことをユーザーに伝えるべきかを決定してください。ただし、PHPの土地を離れるまでは、データの表現に変更を加えないでください。

ずっと前に、誰かがデータをエスケープするためのすべてのメカニズムに適合する単一サイズを発明しようとしたところ、すべての出力ターゲットのデータを適切にエスケープせず、異なるインストールが機能するために異なるコードを必要とする「magic_quotes」が発生しました。

ユーザーデータを信頼しないでください。

function clean_input($data) {
  $data = trim($data);
  $data = stripslashes($data);
  $data = htmlspecialchars($data);
  return $data;
}

このtrim()関数は、文字列の両側から空白やその他の定義済み文字を削除します。

このstripslashes()関数はバックスラッシュを削除します

このhtmlspecialchars()関数は、いくつかの事前定義文字をHTMLエンティティに変換します。

事前定義された文字は次のとおりです。

& (ampersand) becomes &
" (double quote) becomes "
' (single quote) becomes '
< (less than) becomes &lt;
> (greater than) becomes &gt;

フィルター拡張機能（howto-link、manual）があり、すべてのGPC変数で非常にうまく機能します。しかし、それはすべてを実行する魔法ではありませんが、それでも使用する必要があります。