PHP FILTER_VALIDATE_IP è sufficientemente sicuro per $ _GET un indirizzo IP?

Question

PHP FILTER_VALIDATE_IP è sufficientemente sicuro per $ _GET un indirizzo IP?

#1 da (2 voti)

0

Ho bisogno di passare un IP a una pagina PHP, e sarebbe comodo poter usare GET, ma so che è una sorta di richiesta di guai, quindi voglio ricontrollare che lo gestisco in modo sicuro .

if(!filter_var($_GET["ip"], FILTER_VALIDATE_IP)) {
    echo "Invalid IP.";
    die();
}

$ip = (string)$_GET["ip"];

Questo è abbastanza sicuro da poter mettere $ ip in un database o visualizzarlo su una pagina? O ci sono delle vulnerabilità con FILTER_VALIDATE_IP (o forse il modo in cui il codice è strutturato) di cui dovrei preoccuparmi?

php xss injection

posta Qaz 19.08.2014 - 16:58

fonte

1 risposta

Leggi altre domande sui tag php xss injection

Limitazione dell'accesso all'account basato su NIC utilizzata per connettersi su Linux THC Hydra 16 Password valide? [duplicare]

score 2 · Accepted Answer

Ci sono stati problemi con filter_var se usato con FILTER_VALIDATE_EMAIL in passato, tuttavia non posso trova eventuali vulnerabilità con FILTER_VALIDATE_IP .

Anche se un indirizzo IP non contiene caratteri che hanno un significato speciale in HTML (es. < ) o caratteri che possono uscire da una query di database (ad esempio ' ), tratterei il valore come qualsiasi altro valore di stringa e utilizzare query parametrizzate per archiviare questo all'interno di un DB o codifica HTML durante la visualizzazione sulla pagina.

Ciò eviterebbe qualsiasi cambiamento futuro, come se fosse successivamente modificato in un nome host dall'input dell'utente - il valore sarebbe comunque sicuro per entrambe le operazioni.