通过以下搜索
dmk / mksanitizedparameters
在TYPO3后端或前端开始处理之前,对$_REQUEST、$_POST和$_GET进行清理。查看文档了解如何添加自己的规则或查看存在的规则。
v12.0.3
2024-09-19 08:29 UTC
Requires
- php: ^7.4 || ^8.0
- typo3/cms-core: ^11.5.7 || ^12.4.7
Requires (Dev)
- friendsofphp/php-cs-fixer: ^3.3
- php-parallel-lint/php-parallel-lint: ^1.3
- phpcompatibility/php-compatibility: ^9.3.5
- phpmd/phpmd: ^2.14
- phpspec/prophecy-phpunit: ^2.0.1
- phpstan/extension-installer: ^1.3
- phpstan/phpstan: ^1.1
- saschaegerer/phpstan-typo3: ^1.9
- typo3/testing-framework: ^6.0 || ^7.0
Replaces
- typo3-ter/mksanitizedparameters: v12.0.3
- 12.4.x-dev
- v12.0.3
- v12.0.2
- v12.0.1
- v12.0.0
- 11.5.x-dev
- v11.0.8
- v11.0.7
- v11.0.6
- v11.0.5
- v11.0.4
- v11.0.3
- v11.0.2
- v11.0.1
- v11.0.0
- 10.4.x-dev
- v10.0.3
- v10.0.2
- 10.0.1
- 10.0.0
- 9.5.x-dev
- 9.5.2
- 9.5.1
- 9.5.0
- 3.0.5
- 3.0.4
- 3.0.3
- 3.0.2
- 3.0.1
- 3.0.0
- 2.0.4
- 2.0.3
- 2.0.2
- 2.0.1
- 2.0.0
- 1.1.1
- 1.1.0
- 1.0.5
- 1.0.4
- 1.0.3
- dev-legacy-3.0
This package is auto-updated.
Last update: 2024-09-19 08:45:51 UTC
README
这是做什么的?
清理前端和后端中$_GET、$_POST和ServerRequestInterface $request中的所有参数。每个可能的参数都可以单独配置。配置可以是参数数组中的特定位置,或者适用于所有可能的位置,甚至是所有未配置参数的默认配置。
这种方法可以防止潜在的攻击,例如MySQL注入,即使对于没有怀疑攻击潜力的参数也是如此。因此,未闭合的安全漏洞更难或根本无法利用。
现在在单个位置处理参数的正确数据类型。每次使用它们时(例如,在MySQL查询中),无需每次都调用intval()。您可以在任何位置安全地直接使用它们,无需采取任何其他行动。您只需提供正确的规则/配置,以确保您的代码不会受到MySQL注入等攻击的威胁。
清理本身是通过PHP的过滤器功能完成的。因此,您可以充分利用其功能,并提供自定义过滤器。
功能
此扩展有3种模式,可以通过扩展配置进行配置
- 隐形模式:模拟清理并记录所有理论操作。您还需要设置一个页面ID,将日志写入该页面。
- 日志模式:已清理的每个参数(已更改)将按警告级别进行记录。这样您可以调查发生了什么。要么是攻击尝试,要么规则需要调整。
- 调试模式:在开发期间很有用。已清理的每个参数(已更改)将通过调试消息在屏幕上报告。
规则
可以轻松注册用于清理参数的自定义规则。查看规则