Sanitize $ _GET parámetros para evitar XSS y otros ataques

Question

Tengo un sitio web en php que incluye() para incrustar el contenido en una plantilla. La página para cargar se da en un parámetro get, agrego ".php" al final del parámetro e incluyo esa página. Necesito hacer un control de seguridad para evitar XSS u otras cosas (no inyección de mysql ya que no tenemos una base de datos). Lo que se me ocurrió es lo siguiente.

$page = $_GET['page']; 

if(!strpos(strtolower($page), 'http') || !strpos($page, '/') || 
    !strpos($page, '\\') || !strpos($page, '..')) { 
     //append ".php" to $page and include the page 

¿Hay alguna otra cosa que pueda hacer para sanitizar aún más mi entrada?

Answer 1

$page = preg_replace('/[^-a-zA-Z0-9_]/', '', $_GET['page']); 

es probablemente la forma más rápida para desinfectar esto, esto va a tomar cualquier cosa y asegúrese de que sólo contiene letras, números, guiones o guiones.

Answer 2

Defina una lista explícita de las páginas que tiene en su código fuente y luego utilícela para verificar la entrada. Sí, es más trabajo, pero deja muy claro lo que está permitido y lo que no. Por ejemplo:

$AVAILABLE_PAGES = array('home', 'news', ...); 
$AVAILABLE_PAGES = array_fill_keys($AVAILABLE_PAGES, 1); 

$page = $_GET['page']; 
if (!$AVAILABLE_PAGES[$page]) { 
    header("HTTP/1.0 404 Not Found"); 
    die('Page not found.'); 
} 

include "pages/$page.php"; 

Answer 3

No "higienizar": los ataques son específicos del uso de datos, no de la fuente. Escápese de valores cuando los muestre en su lugar. Vea también mi respuesta a What’s the best method for sanitizing user input with PHP?