安全编码实践中的输入验证与过滤

1. 问题描述

输入验证与过滤是网络安全中防御注入类攻击（如SQL注入、XSS、命令注入等）的核心手段。面试常问：“如何设计一个全面的输入验证机制？过滤用户输入时应注意哪些陷阱？”

2. 输入验证的核心目标

输入验证的目的是确保用户提交的数据符合预期格式、类型和范围，而过滤则是对非法字符或模式进行清理或拦截。两者结合可显著降低攻击面。

• 验证：检查数据是否合法（如邮箱格式、数字范围）。
• 过滤：移除或转义危险字符（如<script>中的尖括号）。

3. 输入验证的常见误区

误区1：仅依赖前端验证

• 问题：前端验证可被绕过（如修改HTML或直接发送请求）。
• 正确做法：前端提升用户体验，后端必须做最终验证。

误区2：黑名单过滤

• 问题：试图拦截已知危险字符（如'、<），但易遗漏变形或编码后的payload（如%3Cscript%3E）。
• 正确做法：优先采用白名单策略，只允许已知安全的字符。

误区3：错误的位置过滤

• 问题：在数据入库前转义，但取出后直接使用，可能导致二次注入。
• 正确做法：根据数据使用场景（如HTML、SQL、系统命令）在输出前进行针对性转义。

4. 分步骤设计输入验证机制

步骤1：定义数据规范

• 明确每个输入字段的合法规则（类型、长度、字符集）。
  • 例如：用户名只允许字母数字，长度3-20字符。
  • 工具：正则表达式（如/^[a-zA-Z0-9]{3,20}$/）或类型检查库（如Python的Pydantic）。

步骤2：多层验证策略

1. 客户端验证：通过HTML5属性（如pattern、maxlength）或JavaScript快速反馈。
2. 服务端验证：
   • 白名单验证：拒绝任何不符合规则的输入。
   • 类型转换：如将字符串数字转为整数，失败则拒绝。
   • 业务逻辑验证：如检查“年龄”是否在0-150之间。

步骤3：上下文相关的输出编码

• SQL上下文：使用参数化查询（如Prepared Statements）而非拼接。
• HTML上下文：转义<、>等字符（如PHP的htmlspecialchars）。
• 系统命令上下文：避免直接调用Shell，使用API或严格转义（如Python的shlex.quote）。

5. 进阶陷阱与解决方案

陷阱1：Unicode编码绕过

• 案例：%E3%80%80（全角空格）可能绕过空格过滤。
• 解决：规范化Unicode字符（如Python的unicodedata.normalize）。

陷阱2：二次解码攻击

• 案例：服务器对URL编码的数据自动解码两次（如%2520→%20→空格）。
• 解决：统一解码一次，且在校验后进行。

陷阱3：文件上传验证

• 错误：仅检查文件扩展名或MIME类型（可伪造）。
• 正确做法：
  1. 白名单限制扩展名。
  2. 检查文件头魔数（如PNG的‰PNG）。
  3. 存储时重命名文件，避免路径遍历。

6. 实际代码示例（以PHP为例）

// 白名单验证邮箱  
$email = $_POST['email'];  
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {  
    die("非法邮箱格式");  
}  

// SQL防注入：参数化查询  
$stmt = $pdo->prepare("SELECT * FROM users WHERE email = ?");  
$stmt->execute([$email]);  

// HTML输出转义  
echo htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8');  

7. 总结要点

• 原则：不信任任何用户输入，默认拒绝，谨慎放行。
• 关键：白名单优于黑名单，验证与编码缺一不可。
• 场景：根据数据使用场景选择防护措施，避免过度依赖单一技术。

通过以上步骤，可系统性地构建鲁棒的输入验证机制，有效防御多数注入攻击。