str_replace() sulle stringhe multibyte pericoloso?

Question

Dato determinati set di caratteri multibyte, ho ragione nel ritenere che quanto segue non faccia ciò che era destinato a fare?

$string = str_replace('"', '\\"', $string); 

In particolare, se l'ingresso era in un set di caratteri che potrebbe avere un carattere valido come 0xbf5c, quindi un attaccante può iniettare 0xbf22 per ottenere 0xbf5c22, lasciando un carattere valido seguito da un doppio apice non quotate (") .

c'è un modo semplice per attenuare questo problema, o sono io incomprensione problema, in primo luogo

(nel mio caso, la stringa sta andando in l'attributo value di un tag input HTML:? echo 'input type = "text" value = "'. $ string. '">';)

MODIFICA: Del resto, che dire di una funzione come preg_quote()? Non c'è alcun argomento per questo, quindi sembra totalmente inutile in questo scenario. Quando NON hai l'opzione di limitare il set di caratteri a UTF-8 (sì, sarebbe bello), sembra che tu sia davvero handicappato. Quali funzioni di sostituzione e quotatura sono disponibili in questo caso?

Answer 1

No, hai ragione: l'utilizzo di una funzione di stringa singola su una stringa multibyte può causare un risultato imprevisto. Utilizzare il multibyte string functions invece, per esempio mb_ereg_replace o mb_split:

$string = mb_ereg_replace('"', '\\"', $string); 
$string = implode('\\"', mb_split('"', $string)); 

---

Modifica Ecco un'implementazione mb_replace utilizzando la scissione join variante:

function mb_replace($search, $replace, $subject, &$count=0) { 
    if (!is_array($search) && is_array($replace)) { 
     return false; 
    } 
    if (is_array($subject)) { 
     // call mb_replace for each single string in $subject 
     foreach ($subject as &$string) { 
      $string = &mb_replace($search, $replace, $string, $c); 
      $count += $c; 
     } 
    } elseif (is_array($search)) { 
     if (!is_array($replace)) { 
      foreach ($search as &$string) { 
       $subject = mb_replace($string, $replace, $subject, $c); 
       $count += $c; 
      } 
     } else { 
      $n = max(count($search), count($replace)); 
      while ($n--) { 
       $subject = mb_replace(current($search), current($replace), $subject, $c); 
       $count += $c; 
       next($search); 
       next($replace); 
      } 
     } 
    } else { 
     $parts = mb_split(preg_quote($search), $subject); 
     $count = count($parts)-1; 
     $subject = implode($replace, $parts); 
    } 
    return $subject; 
} 

quanto riguarda la combinazione di parametri, questo la funzione dovrebbe comportarsi come il singlebyte str_replace.

Answer 2

È possibile utilizzare mb_ereg_replace specificando innanzitutto il set di caratteri con mb_regex_encoding(). In alternativa, se si utilizza UTF-8, è possibile utilizzare preg_replace con il modificatore u.

Answer 3

Da quanto ho capito, gran parte di questo tipo di iniezione di stringhe viene risolta da mysql_real_escape_string(); funzione.

http://php.net/manual/en/function.mysql-real-escape-string.php

Answer 4

Il codice è perfettamente sicuro con sane più byte-codifiche come UTF-8 e EUC-TW, ma pericolosa rotti quelli come Shift_JIS, GB *, ecc Piuttosto che passando attraverso tutte il mal di testa e il sovraccarico per essere sicuri con queste codifiche legacy, consiglierei solo il supporto solo UTF-8.