Я не занимаюсь технической поддержкой сайтов, но так уж сложилось, что ко мне часто обращаются за помощью. С одной стороны отказывать неудобно, да и не выгодно с коммерческой точки зрения, с другой за большое спасибо в магазине тоже не расплатишься. Поэтому я решил написать универсальное решение, но столкнулся с некоторыми проблемами.

Суть решения заключается в том, чтобы отловить данные POST, GET, COOKIE и обработать их еще до того, как сайт произведет с ними какие-либо действия.

Вот собственно сам код

Код:



$jsxss="onabort,oncanplay,oncanplaythrough,ondurationchang e,onemptied,onended,onerror,onloadeddata,onloadedm etadata,onloadstart,onpause,onplay,onplaying,onpro gress,onratechange,onseeked,onseeking,onstalled,on suspend,ontimeupdate,onvolumechange,onwaiting,onco py,oncut,onpaste,ondrag,ondragend,ondragenter,ondr agleave,ondragover,ondragstart,ondrop,onblur,onfoc us,onfocusin,onfocusout,onchange,oninput,oninvalid ,onreset,onsearch,onselect,onsubmit,onabort,onbefo reunload,onerror,onhashchange,onload,onpageshow,on pagehide,onresize,onscroll,onunload,onkeydown,onke ypress,onkeyup,altKey,ctrlKey,shiftKey,metaKey,key ,keyCode,which,charCode,location,onclick,ondblclic k,oncontextmenu,onmouseover,onmouseenter,onmouseou t,onmouseleave,onmouseup,onmousemove,onwheel,altKe y,ctrlKey,shiftKey,metaKey,button,buttons,which,cl ientX,clientY,detail,relatedTarget,screenX,screenY ,deltaX,deltaY,deltaZ,deltaMode,animationstart,ani mationend,animationiteration,animationName,elapsed Time,propertyName,elapsedTime,transitionend,onerro r,onmessage,onopen,ononline,onoffline,onstorage,on show,ontoggle,onpopstate,ontouchstart,ontouchmove, ontouchend,ontouchcancel,persisted,javascript";
$jsxss = explode(",",$jsxss);
foreach($_POST as $k=>$v)
{
if(is_array($v))
{
foreach($v as $Kk=>$Vv)
{
$Vv = preg_replace ( "']*?>.*?'si", "", $Vv );
$Vv = str_replace($jsxss,"",$Vv);
$Vv = str_replace (array("*","\\"), "", $Vv );
$Vv = strip_tags($Vv);
$Vv = htmlentities($Vv, ENT_QUOTES, "UTF-8");
$Vv = htmlspecialchars($Vv, ENT_QUOTES);
$_POST[$k][$Kk] = $Vv;
}
}
ELSE
{
//Сначала удаляем любые скрипты для защиты от xss-атак
$v = preg_replace ( "']*?>.*?'si", "", $v );
//Вырезаем все известные javascript события для защиты от xss-атак
$v = str_replace($jsxss,"",$v);
//Удаляем экранированание для защиты от SQL-иньекций
$v = str_replace (array("*","\\"), "", $v );
//Экранируем специальные символы в строках для использования в выражениях SQL
$v = mysql_real_escape_string( $v );
//Удаляем другие лишние теги.
$v = strip_tags($v);
//Преобразуеv все возможные символы в соответствующие HTML-сущности
$v = htmlentities($v, ENT_QUOTES, "UTF-8");
$v = htmlspecialchars($v, ENT_QUOTES);
//Перезаписываем GET массив
$_POST[$k] = $v;
}

}


Тоже самое я сделал по аналогии с _GET и _COOKIE

Основные недостатки.

1) У меня так и не вышло обработать, а точнее перезаписать их внутри функции и передать _POST, _GET и _COOKIE в качестве переменных, а главное, как следствие, обработать многомерные массивы данных рекурсивно. Соответственно $_POST[][], $_POST[][][] и тд уже обработать не выйдет и каждый такой массив надо вставлять отдельно. Массив может быть бесконечно большой, а код получится бесконечно громозкий.

2) Не охота убирать функцию mysql_real_escape_string ведь никогда не знаешь, где ее забыли упомянуть, но возникает проблема излишнего экранирования символов.

3) strip_tags удаляет все теги. Мне бы не хотелось убирать все, а лишь самые опасные теги, но беда в том, что в дополнительных параметрах можно указать только теги, которые нужно оставить. Конечно, можно использовать регулярные выражения, но к сожалению, нет уверенности в том, что не забудешь что-нибудь важное, поэтому если у кого-то есть отличная замена этому, то предлагаю собрать все в кучу и избавиться от strip_tags

4) Ну и жду других советов по данному вопросу.

Мусор. И описание как всегда никто не читал PHP: strip_tags - Manual (https://php.net/manual/ru/function.strip-tags.php)



Внимание
Эта функция не изменяет атрибуты тегов, разрешенных с помощью allowable_tags, включая такие атрибуты как style и onmouseover, которые могут быть использованы озорными пользователями при отправке текста, отображаемого также и другим пользователям.





mysql_


Спасибо, но это мертво и вырезано в php 7. Есть конечно альтернатива в виде mysqli, но смысл? Есть PDO где просто поменял dsn и все. Проблемы должны решаться в соответствующем по и не пораждать соответствующих проблем. Если такие появляются и существуют то это чисто проблема кода и того кто это все делал.

Ну вопрос в том, как решить проблему, тем более когда решать ее некому. Не будет Вася Пупкин, который решил сделать свой магазин за копейки на каком-то бесплатном движке ничего переделывать, и платить кому. И тем более переходить на PDO и тд.

Правильно кикл сказал, надо юзать PDO, живёте словно только вышел 5 Пых.

Там от инъекции есть методы экранирования.

1. Зачем тебе экранировать и перезаписывать пост, гет или сессии?

Просто экранируй когда делаешь запрос к бд.

2. Переписывай код, ищи все обращения у бд.

Делай по человечески.

3. Плохо объяснено.

4. Если не разбираешься не лезь, если начал - разбирайся.

1) Затем, что как я и писал, я не занимаюсь техподдержкой сайтов, и разбираться в его структуре переписывать все запросы у меня нет ни времени ни желания

2,4) Я что благотворительная организация, может мне еще и приплачивать, за то, что я решил человеку помочь защититься от атаки ))