Очистка ввода в PHP rest API
Есть ли способ дезинфицировать ввод в PHP rest API перед использованием функция ниже $ data = json_decode (file_get_contents ('php: // input'), true);
Как показывает мой отчет об аудите безопасности, существует возможность инъекции JSON.
Вот пример простой инъекции JSON с использованием PHP: acunetix.com/blog/web-security-zone/what-are-json-injection. Посмотрите, подходит ли вам такой сценарий. Поскольку кажется, что вы не наивно комбинируете JSON с вводом, добавленным пользователем, это кажется относительно маловероятным. Вы просто принимаете готовую строку JSON от клиента.
Это не значит, что вы не должны выполнять всевозможные проверки на работоспособность входящих данных, чтобы убедиться, что они имеют смысл с точки зрения вашего бизнеса / требований безопасности, но с точки зрения внедрения JSON, в частности, трудно понять, в чем может быть проблема. просто из этой строчки кода. Если вам нужна наша помощь, вам необходимо предоставить дополнительную информацию.
Я приложил скриншот полученного мною отчета. Пожалуйста, отметьте это в отредактированном вопросе
Я приложил скриншот полученного мною отчета. Пожалуйста, отметьте это в отредактированном вопросе
Ваш код является полностью стандартным рекомендуемым способом декодирования JSON со стороны клиента. Итак, если в отчете нет ничего более полезного, чем просто выделить эту строку, тогда, если вы оценили остальную часть своего кода и решили, что инъекции JSON не может произойти в результате этого, я думаю, вы, вероятно, можете проигнорировать это. ИМО, это бесполезная информация.
Дайте определение «дезинфицировать»? Какую проверку вам нужно сделать? Где, по его мнению, может произойти инъекция JSON? где-то позже, предположительно, после того, как вы что-то сделаете с этими данными?