那些遇到过的问题

清理/清理xpath属性

6 php xml xpath code-injection

我需要为元素属性动态构造XPath查询,其中属性值由用户提供.我不确定如何清理或清理此值以防止XPath等同于SQL注入攻击.例如(在PHP中):

<?php
function xPathQuery($attr) {
    $xml = simplexml_load_file('example.xml');
    return $xml->xpath("//myElement[@content='{$attr}']");
}

xPathQuery('This should work fine');
# //myElement[@content='This should work fine']

xPathQuery('As should "this"');
# //myElement[@content='As should "this"']

xPathQuery('This\'ll cause problems');
# //myElement[@content='This'll cause problems']

xPathQuery('\']/../privateElement[@content=\'private data');
# //myElement[@content='']/../privateElement[@content='private data']
Run Code Online (Sandbox Code Playgroud)

特别是最后一个让人想起昔日的SQL注入攻击.

现在,我知道会有包含单引号和包含双引号的属性的属性.由于这些是作为函数的参数提供的,因此对这些函数进行消毒的理想方法是什么?

gz.*_*gz. 6

XPath确实包含一种安全地执行此操作的方法,因为它允许表达式中的表单中的变量引用$varname.PHP的SimpleXML所基于的库提供了一个提供变量的接口,但是这个示例中的xpath函数没有公开.

作为一个真实的示范,这可以是多么简单:

>>> from lxml import etree
>>> n = etree.fromstring('<n a=\'He said "I&apos;m here"\'/>')
>>> n.xpath("@a=$maybeunsafe", maybeunsafe='He said "I\'m here"')
True
Run Code Online (Sandbox Code Playgroud)

这是使用lxml,一个与SimpleXML相同的底层库的python包装器,具有类似的xpath函数.布尔值,数字和节点集也可以直接传递.

如果不能选择切换到功能更强大的XPath接口,那么给定外部字符串时的解决方法就是(可随意适应PHP):

def safe_xpath_string(strvar):
    if "'" in strvar:
        return "',\"'\",'".join(strvar.split("'")).join(("concat('","')"))
    return strvar.join("''")
Run Code Online (Sandbox Code Playgroud)

返回值可以直接插入表达式字符串中.因为它实际上不是非常易读,所以它的行为方式如下:

>>> print safe_xpath_string("basic")
'basic'
>>> print safe_xpath_string('He said "I\'m here"')
concat('He said "I',"'",'m here"')
Run Code Online (Sandbox Code Playgroud)

注意,您不能在&apos;XML文档之外的表单中使用转义,也不能使用通用的XML序列化例程.但是,XPath concat函数可用于在任何上下文中创建具有两种类型引号的字符串.

PHP变种:

function safe_xpath_string($value)
{
    $quote = "'";
    if (FALSE === strpos($value, $quote))
        return $quote.$value.$quote;
    else
        return sprintf("concat('%s')", implode("', \"'\", '", explode($quote, $value)));
}
Run Code Online (Sandbox Code Playgroud)

Chr*_*org -1 

function xPathQuery($attr) {
    $xml = simplexml_load_file('example.xml');
    $to_encode = array('&', '"');
    $to_replace = array('&amp;','&quot;');
    $attr = replace($to_encode, $to_replace, $attr);
    return $xml->xpath("//myElement[@content=\"{$attr}\"]");
}
Run Code Online (Sandbox Code Playgroud)

好的,它有什么作用?

它将字符串中所有出现的 & 和 " 编码为 & 和 ",这应该为您提供用于该特定用途的安全选择器。请注意,我还将 xpath 中的内部 ' 替换为 "。编辑:有人指出 ' 可以转义为 ',因此您可以使用您喜欢的任何字符串引用方法。

归档时间:

查看次数:

2483 次

最近记录:

14 年,2 月 前
相关归档
有没有PHP Sandbox,像JSFiddle这样的东西是JS? 327
从字符串中删除新行并替换为一个空格 269
用PHP上传进度条 79
无法找到所需的类(javax.activation.DataHandler和javax.mail.internet.MimeMultipart).附件支持已禁用 39
如何让set_error_handler()调用对象上的方法? 36
为什么在使用XPath查询时需要CROSS APPLY? 31
是否可以使用PHP的C++二进制文件 21
没有htaccess的PHP中的URL重写 21
在Java中将RSA密钥对象导出为XML 8
解析RSS提要最近抛出了文档类型定义(DTD)错误 5
难疑归档
为什么HTML认为"chucknorris"是一种颜色? 7264
如何迭代字符串的单词? 2895
找到已安装的npm软件包的版本 2037
'using'指令应该在命名空间的内部还是外部? 1975
如何在不安装Ms Office的情况下在C#中创建Excel(.XLS和.XLSX)文件? 1804
如何在Git中检索当前提交的哈希值? 1788
Python join:为什么是string.join(list)而不是list.join(string)? 1669
如何停止跟踪并忽略Git中文件的更改? 1634
Node.js module.exports的目的是什么,你如何使用它? 1397
如何使用AngularJS在浏览器控制台中访问$ scope变量? 1220