此用户表单的潜在安全问题

Question

我正在尝试创建一个安全的注册表单，这只是前几个字段，还有大约十几个字段，但这无关紧要。我有点安全意识，我想知道以下代码是否足以防止 XSS 和 SQL 注入。

• 我正在使用 htmlentities，因为如果有任何输入错误，我会向用户显示一些用户输入。
• 我相信我已经正确使用了准备好的语句。

• 我包含了表格的开头只是为了表明，因为我要发帖给自己，所以需要 html 实体。

  if(isset($_POST['submit'])){
  
  $firstname = htmlentities($_POST['firstname'], ENT_QUOTES, 'UTF-8');
  $lastname = htmlentities($_POST['lastname'], ENT_QUOTES, 'UTF-8');
  $email = htmlentities($_POST['email'], ENT_QUOTES, 'UTF-8');
  $emailrepeat = htmlentities($_POST['emailrepeat'], ENT_QUOTES, 'UTF-8');
  $password = htmlentities($_POST['password'], ENT_QUOTES, 'UTF-8');
  $passwordrepeat = htmlentities($_POST['passwordrepeat'], ENT_QUOTES, 'UTF-8');
  
  
  
  if (empty($firstname)) 
  {   
      $fnError = "Please Enter Your First Name";
  }
  if (empty($lastname)) 
  {
      $lnError = "Please Enter Your Last Name";
  }
  
  
  $getEmail = $mysqli->prepare('SELECT * FROM users WHERE email=?');
  $getEmail->bind_param('s', $email);
  $getEmail->execute();
  $getEmail->store_result();
  $countRows = $getEmail->num_rows;
  if ($countRows > 0) 
  {
      $emError = "Email Address Already Exists";
      $countRows = 0;
  }
  
  
  
  else if (empty($email)) 
  {
  $emError = "Please Enter an Email Address";
  }
  else if (!filter_var($email, FILTER_VALIDATE_EMAIL)) 
  {
  $emError = "Invalid Email Address";
  }
  else if ($email != $emailrepeat)
  {
      $emError = "Emails do not match";
  }
  
  if (empty($password)) 
  {
      $pwError = "Please Enter a Password";
  }
  else if (strlen($password)<6)
  {
      $pwError = "Password must be atleast 6 characters";
  }
  else if ($password != $passwordrepeat)
  {
      $pwError = "Emails do not match";
  }
  
  if (filter_var($email, FILTER_VALIDATE_EMAIL)) 
  {
  
      if ($password == $passwordrepeat and !empty($password) and strlen($password)>5)
      {
          $pwhash = password_hash($password, PASSWORD_BCRYPT, array("cost" => 11));
  
          if($stmt = $mysqli->prepare("INSERT INTO users (first_name, last_name, email, password) VALUES (?, ?, ?, ?)"))
          {
              $stmt->bind_param("ssss", $firstname, $lastname, $email, $pwhash);
              $stmt->execute();
              $stmt->close();
          }
  
  
      }
  }
  }
  
  <form id="addnewuser" action="<?php echo htmlentities($_SERVER['PHP_SELF']);    ?>" method="POST"> 
  </form>
  

Answer 1

1.感谢使用准备好的语句！

2。阅读下文

总的来说，从安全的角度来看，这看起来相当不错，但您肯定会 运行 通过在任何地方使用 htmlentities() 来解决问题。

按照你的逻辑，如果我想使用像 ThisIsSo<Secu>r 这样的密码，那么你的代码会将其转换为 ThisIsSo<Secu>r 这样我就无法登录到你的网站除非您还在登录页面的 username/password.

上使用 htmlentities()

将用户数据保存到数据库时，您应该始终保持用户键入内容的完整性，并在回显数据时实施正确的转义。例外情况是像 CKEditor 这样的东西；但编辑会为您处理转义。

为了更好地说明这一点，您需要像这样使用 htmlentities()：

<div class="welcome-banner">Welcome <?php echo htmlentities($row['firstname']); ?>!</div>

或者像这样：

<h3>Editing Your Profile</h3>
<label>First Name</label><br>
<input type="text" name="firstname" value="<?php echo htmlentities($row['firstname']); ?>">