URLとmod_rewrite：多くの特殊文字を使用して攻撃からデータを保護する

Question

コンテンツページがmod_rewriteで処理されているサイトで作業していて、mod_rewriteでURLを管理するようにしようとしています。SQL injectionsユーザーは、このようなページの内容を作成することができますので、私は名前を持つことができるので、私は'文字を挿入する必要が

http://site.com/architect/Giovanni+Dall'Agata 

：

http://site.com/content-type/Page-created-by-user 

を、彼らはのようなものを挿入したときに私の疑問が来ます有名な建築家のようなこのようなものですが、データを安全に保つことができるかどうか、そしてどのようにしてこの文字と一緒にSQL injectionsを防ぐのか分かりません。

攻撃を防ぐために特に必要な作業はありますか？

私はこのようなPHPでPDO classを使用しています：

$architect = strip_tags (trim ($_REQUEST["architect"])); 

// pdo class etc.. 
$pdo_stmt->bindParam (":arch", $architect, PDO::PARAM_STR); 
// and the other code here... 

ユーザーは、これらの文字を持つページを作成することはできません。< >/\ * ? =は、私はあまりにも'と"を禁止すべきか？ 'と"のいずれか1つのみを許可する必要がありますか、それらを一緒に使用してサーバーを安全に保つことはできますか？

Answer 1

$stmt->bindParam（およびbindValue、および一般にprepared statements）は、SQLインジェクションに対して安全です。すべての深刻なSBフレームワークは、クエリにパラメータを追加する方法をサポートし、そのように追加された値はサニタイズされます。常にそれを行い、 変数 のデータを（コメントを参照）から手動でSQLクエリ文字列に挿入しないでください。

それでもXSS注射の問題は残されていますが、それは見逃しやすい（危険性は低いですが）。それらを避けるには、常にhtmlspecialchars($var,ENT_QUOTES)（または、コンテキストに応じてurlencode）を必ず使用してください。

Answer 2

PDOは自動的ので、あなたがちょうどあなたがregister_globalsとmagic_quotesがオフになって、常にあなたのクエリにbindParamを使用していることを確認してください、[OK]をする必要があり'のような文字をエスケープします。

ダイナミックURLを作成する場合は、とにかく'文字を使用しないでください。私はいつも使用します：

$str = preg_replace("([^0-9a-zA-Z\-])", "", $str); 

文字列から0-9、a-zまたはダッシュ以外のものを削除します。