API输入验证

概述

API 输入验证是确保 MediaWiki 安装安全性和可靠性的关键环节。它涉及对所有通过 API 接收的数据进行仔细检查和过滤，以防止恶意代码注入、跨站脚本攻击（XSS）、SQL 注入等安全漏洞。API 允许外部应用程序与 MediaWiki 实例进行交互，因此，任何未经验证的输入都可能成为攻击者的入口点。有效的输入验证不仅可以保护数据库，还可以防止系统崩溃、数据泄露和未经授权的访问。输入验证并非仅仅依赖于客户端验证，服务端验证至关重要，因为客户端验证可以被绕过。理解 API 的工作原理是进行有效输入验证的基础。

主要特点

**多层防御：** 输入验证应作为多层安全防御体系的一部分，与其他安全措施（如访问控制、防火墙和定期安全审计）相结合。
**白名单原则：** 尽可能采用白名单方法，即只允许已知且安全的输入模式。相比于黑名单方法（阻止已知恶意模式），白名单方法更安全，因为黑名单很难涵盖所有可能的攻击向量。
**数据类型验证：** 验证输入的数据类型是否符合预期。例如，如果期望一个整数，则拒绝任何包含字母或特殊字符的输入。参见数据类型。
**长度限制：** 限制输入字符串的长度，以防止缓冲区溢出和其他相关攻击。
**格式验证：** 验证输入字符串的格式是否符合预期。例如，验证电子邮件地址是否符合标准的电子邮件格式。
**编码和转义：** 对输入数据进行适当的编码和转义，以防止恶意代码被执行。
**上下文感知验证：** 验证的严格程度应根据输入数据的使用上下文进行调整。例如，用于数据库查询的输入需要比用于显示在页面上的输入更严格的验证。
**参数化查询：** 使用参数化查询（或预处理语句）来防止 SQL 注入攻击。参见 SQL 注入。
**日志记录：** 记录所有输入验证失败的尝试，以便进行安全审计和分析。
**持续更新：** 随着新的攻击技术不断涌现，输入验证策略需要不断更新和改进。参考安全更新。

使用方法

MediaWiki 的 API 框架提供了多种机制来实现输入验证。以下是一些常用的方法：

1. **`$this->request->getVal()` 和 `$this->request->getArray()`:** 这些方法用于从请求中获取值和数组。它们可以指定默认值和验证规则。例如：

   ```php
   $username = $this->request->getVal( 'username',  );
   $age = $this->request->getVal( 'age', 0, 'int' ); // 强制转换为整数
   $tags = $this->request->getArray( 'tags' );
   ```

2. **`Title::newFromText()`:** 在使用用户提供的文本创建标题对象时，务必使用 `Title::newFromText()` 并检查返回值是否为 null，以防止恶意标题创建。

3. **`User::newFromName()`:** 类似于 `Title::newFromText()`, 使用 `User::newFromName()` 验证用户名称，确保其符合 MediaWiki 的命名规则。

4. **`Sanitizer::stripTags()` 和 `Sanitizer::escapeHtml()`:** 使用这些函数来清理和转义用户提供的 HTML 内容，以防止 XSS 攻击。

5. **正则表达式：** 可以使用正则表达式来验证输入字符串的格式。例如，验证电子邮件地址：

   ```php
   if ( preg_match( '/^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}$/', $email ) ) {
       // 电子邮件地址有效
   } else {
       // 电子邮件地址无效
   }
   ```

6. **自定义验证函数：** 可以创建自定义的验证函数来满足特定的需求。例如，验证一个字符串是否符合特定的长度和字符限制。

7. **APIRequest 类的扩展：** 可以扩展 `APIRequest` 类，并在其中添加自定义的验证逻辑。这允许您将验证规则封装在可重用的组件中。参见 APIRequest 类。

8. **使用 MediaWiki 提供的验证类：** MediaWiki 提供了许多内置的验证类，例如 `Validator` 类，可以简化验证过程。

9. **数据类型强制转换：** 即使使用了验证函数，也建议对输入数据进行类型强制转换，以确保其符合预期。例如，使用 `intval()` 将字符串转换为整数。

10. **利用 MediaWiki 的错误处理机制：** 当输入验证失败时，使用 MediaWiki 的错误处理机制向用户返回清晰的错误信息。参见错误处理。

以下是一个 MediaWiki 表格，展示了一些常见的输入验证场景和相应的验证方法：

常见的输入验证场景和验证方法
输入类型	验证方法	示例	字符串	长度限制、正则表达式、白名单、黑名单、编码/转义	`strlen($string) < 255`, `preg_match('/^[a-zA-Z]+$/', $string)`	整数	类型强制转换、范围检查	`intval($input) > 0`, `$input >= 1 && $input <= 100`	浮点数	类型强制转换、范围检查	`floatval($input) > 0.0`	电子邮件地址	正则表达式、`filter_var()` 函数	`preg_match('/^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}$/', $email)`, `filter_var($email, FILTER_VALIDATE_EMAIL)`	URL	正则表达式、`filter_var()` 函数	https):\/\/[^\s]+$/', $url)`, `filter_var($url, FILTER_VALIDATE_URL)`	日期	`strtotime()` 函数、`DateTime` 类	`strtotime($date) !== false`, `new DateTime($date)`	标题	`Title::newFromText()`	`$title = Title::newFromText($input); if ($title === null) { // 标题无效 }`	用户名	`User::newFromName()`	`$user = User::newFromName($input); if ($user === null) { // 用户名无效 }`	HTML	`Sanitizer::stripTags()`, `Sanitizer::escapeHtml()`	`$cleanedHtml = Sanitizer::stripTags($html); $escapedHtml = Sanitizer::escapeHtml($html);`	文件名	白名单、黑名单、扩展名检查	`in_array(pathinfo($filename, PATHINFO_EXTENSION), ['jpg', 'png', 'gif'])`

立即开始交易

注册IQ Option (最低入金 $10) 开设Pocket Option账户 (最低入金 $5)

加入我们的社区

关注我们的Telegram频道 @strategybin，获取： ✓ 每日交易信号 ✓ 独家策略分析 ✓ 市场趋势警报 ✓ 新手教学资料

API输入验证

Contents

概述

主要特点

使用方法

相关策略

立即开始交易

加入我们的社区

Navigation menu