首頁猿問如果數(shù)據(jù)已經(jīng)經(jīng)過清理，為什么還要驗...

如果數(shù)據(jù)已經(jīng)經(jīng)過清理，為什么還要驗證數(shù)據(jù)？

PHP

慕田峪4524236 2023-10-15 15:41:38

我正在研究 php Rest api 后端的安全最佳實踐。我在很多地方讀到您應(yīng)該清理和驗證所有用戶輸入。根據(jù)我的理解，清理將從字符串中刪除危險字符，而驗證將保證值是服務(wù)器期望的值，就像字段名稱是字符串一樣。我了解安全清理作為避免 xss 攻擊的一種方法的價值，但我不了解驗證對安全性的好處。

查看完整描述

1 回答

開滿天機

TA貢獻1786條經(jīng)驗獲得超13個贊

數(shù)據(jù)清理是一個強制性過程，它會通過防止惡意代碼注入來影響系統(tǒng)的安全性。

另一方面，數(shù)據(jù)驗證是一個業(yè)務(wù)邏輯過程，它會影響數(shù)據(jù)的完整性。并不是每個系統(tǒng)都強制這樣做，但是，不驗證后端接收到的數(shù)據(jù)可能會導(dǎo)致不穩(wěn)定。例如，在電子商務(wù)中，您可能有一張?zhí)厥獾膬?yōu)惠券，只能適用于 65 歲以上的人。您的驗證過程應(yīng)在讓用戶申請優(yōu)惠券之前檢查用戶的出生日期。這個邏輯應(yīng)該在后端和前端重復(fù)。

前端是你的第一道防線，它不應(yīng)該讓用戶執(zhí)行任何非法操作。然而，前端只是一個向 API 發(fā)送請求的漂亮接口。如果 API 請求被逆向工程和操縱，則可以繞過在前端執(zhí)行的任何檢查和驗證。

因此，即使您的前端不允許未達到要求年齡的用戶激活優(yōu)惠券，如果后端沒有驗證，對您的 API 特制的請求也可能能夠使用優(yōu)惠券。這就是數(shù)據(jù)驗證的目的。即使數(shù)據(jù)已被清理并且 API 請求“看起來正?！保ㄒ驗檩斎胫胁话袷藉e誤的數(shù)據(jù)類型或奇怪的字符），該請求也不應(yīng)因業(yè)務(wù)需求而被接受，而不是出于安全原因。

但是，通過前端驗證又有什么關(guān)系呢？好吧，我們通過顯示漂亮的錯誤消息而不是通常不太花哨的 API 錯誤來獲得更好的用戶體驗，并且如果預(yù)計請求會失敗，我們還可以避免不必要的 API 請求和驗證。

總之，數(shù)據(jù)驗證是一個推薦的過程，它將帶來更好的用戶體驗并防止數(shù)據(jù)完整性問題，這與系統(tǒng)安全性一樣重要。

反對回復(fù) 2023-10-15