Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [php/sql] Zabezpieczenia skryptu
Forum PHP.pl > Forum > Przedszkole
right6
14.04.2006, 12:10:59
Mam pytanie do szanownego grona forumowiczów.

W miare jak mi sie skrypt rozrasta (juz 18 tys. lini na liczniku tongue.gif), czas pomyslec powaznie o zabezpieczeniach.
zeby uniknac sytuacji ze ktos wpisze ' i skrypt padnie, bo SQL sie sypnie, albo ze ktos wpakuje ifrem'a szer. 1000 px i mi rozwali strone przy wyswietlaniu, nie mowiac o ciagu 500 znaków bez spacji czy innych poczynaniach.

No i mam pare pytan. Na razie chce wykonac zabezpieczenia tylko zapisu do MySQL'a, i odczytu z niego.

czyli, to co mi przyszlo do glowy co trzeba zabezpieczyc:
- tagi HTML'a
- znaki specjalne jak np '
- zeby sie nie wykonal wpisany kod php, czy JS
- pozamieniac jakies krzaczki pochodzace np. w Word'a

no i cuz jeszcze questionmark.gif no wlasnie pominolem cos questionmark.gif

zaczolem tez dzialac: oto co nazbieralem.

[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3. $text = strip_tags( $text, '<b><i><u><br><span><font><p><a><h1><h2><h3><ul><li>' );
  4.  
  5.  
  6.  
  7.  
  8. ?>
[PHP] pobierz, plaintext


teraz sie zastanawiam czy takie cos
[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3.      // znaki specjalne
  4. $text = str_replace('&amp;plusmn;', '&plusmn;', $text);
  5. $text = str_replace('&amp;trade;', '&trade;', $text);
  6. $text = str_replace('&amp;bull;', '&bull;', $text);
  7. $text = str_replace('&amp;deg;', '&deg;', $text);
  8. $text = str_replace('&amp;copy;', '&copy;', $text);
  9. $text = str_replace('&amp;reg;', '&reg;', $text);
  10. $text = str_replace('&amp;hellip;', '&hellip;', $text);
  11.  
  12. // błędne kodowanie m.in. z phpmyadmina
  13. $text = str_replace('&amp;#261;', 'ą', $text);
  14. $text = str_replace('&amp;#263;', 'ć', $text);
  15. $text = str_replace('&amp;#281;', 'ę', $text);
  16. $text = str_replace('&amp;#322;', 'ł', $text);
  17. $text = str_replace('&amp;#347;', 'ś', $text);
  18. $text = str_replace('&amp;#378;', 'ź', $text);
  19. $text = str_replace('&amp;#380;', 'ż', $text);
  20.  
  21. // znaki specjalne z m$ word
  22. $text = str_replace('&amp;#177;', 'ą', $text);
  23. $text = str_replace('&amp;#8217;', ''', $text);
  24. $text = str_replace('&amp;#8222;', '"', $text);
  25. $text = str_replace('&amp;#8221;', '"', $text);
  26. $text = str_replace('&amp;#8220;', '"', $text);
  27. $text = str_replace('&amp;#8211;', '-', $text);
  28. $text = str_replace('&amp;#8230;', '&hellip;', $text);
  29.          
  30.  
  31. ?>
[PHP] pobierz, plaintext

wykonac przed zapisem do bazy czy juz przy wyswietlaniu questionmark.gifquestionmark.gif?

a takie cos ? przed zapisem czy po questionmark.gif czy nie mozna tego prosciej zrobic questionmark.gif
Kod
   /*Zabezpieczenie przed zadługimi wpisami*
   $nowatresc = explode( " ", $text );
   //liczymy elementy tablicy
   $total = sizeof( $nowatresc );
   //przy pomocy pętli pobieramy każdy element tablicy i mierzymy
   for( $i=0; $total > $i; $i++ )
   {
       //jeśli długość któregoś z elementów tablicy przekracza 30 znaków
       //zmienna weryfikacja jest pusta
       if( strlen( $nowatresc[$i] ) > "30" )
       {
           $weryfikacja="";
       }
   }
   //jeśli weryfikacja jest pusta informujemy że wystąpił błąd
   if ( $weryfikacja!="ok" )
   {
       echo"Za długi wyraz, chińczyków nie obsługujemy";
   }
   else
   {
       echo"Wszystko w porządku";
       //tu wykonują się dalsze czynności skryptu
       //jeśli wszystko jest w porządku
   }


i jeszce anty JS
[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3.  
  4. // anti js
  5. Function js($text)
  6. {
  7.   if(!eregi('<a href=\"javascript:mailto:mail\('',$text[0]))
  8.   {
  9.     return str_replace('javascript','java_script',$text[0]);
  10.   }
  11.     else
  12.   {
  13.     return $text[0];
  14.   }
  15. }
  16.  
  17. ?>
[PHP] pobierz, plaintext



i jak sie zabezpieczyc przed wykonaniem zapytania SQL i kodu php ?

o czyms zapomnialem questionmark.gif?
phobos
14.04.2006, 15:27:29
poczytaj sobie moze o takich 2 funckjach , ktore napewno ci sie przydarza i ukatwia zycie
addslashes oraz htmlspecialchars
kszychu
14.04.2006, 15:35:51
Poza tym, str_replace może przyjmować tablice jako argumenty.
right6
14.04.2006, 17:01:51
ale na moje kluczowe pytania dalej nie mam odpowiedzi.
phobos
14.04.2006, 17:17:34
proponuje ci cos takiego
ten tekst co dostajesz z formularza pakujesz jako argument do 2 funckji

[PHP] pobierz, plaintext 
  1. <?php
  2. $tekst=addslashes(htmlspecialchars($_POST['tekst']));
  3. ?>
[PHP] pobierz, plaintext

i wpisujesz do bazy danych
a jak chcesz go wyswietlic na stronce to dajeszt takie cos
[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3. $tekst=dropslashes($result['tekst'])
  4. ?>
[PHP] pobierz, plaintext
AxZx
14.04.2006, 17:20:36
dziwne, napisales juz 18 tys linii kodu i dopiero teraz zastanawiasz sie nad zabezpieczeniem serwisu?
chyba ze te 18tys linii kodu to ogolnie w twoim zyciu i chcesz sie nauczyc zabezpieczac przyszle skrypty.

wg mnie w bazie trzymaj juz przetworzone dane.
right6
14.04.2006, 18:16:15
phobos - ale to nie zabezpiecza przed wszytskim.

AxZx - do tej pory myslalem ze mam zabezpieczenia wystarczajace tongue.gif, ale jak wpisalem znak ' i mi wysypalo wszytsko biggrin.gif zaczolem temat drazyc i sie okazalo ze dziura na dziurze dziure dziura pogania ohmy.gif
phobos
14.04.2006, 18:17:28
to napisz czego nie zabezpiecza ...
right6
15.04.2006, 08:34:21
nieusuwa blednego kodowania, nie usuwa js.
NuLL
15.04.2006, 11:31:21
http://forum.php.pl/index.php?showtopic=23258

Moze warto to poczytac ?

I zmien temat na poprawny bo zamkne.
piwib
19.04.2006, 23:22:19
Korzystając z tematu mam zapytanie... Potrzebuje łatwy system logowania i przykładowo mam formularz który nadaje wartość zmiennej login i password no i
[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3. if ($login == "musztarda" && $password == "majonez")
  4. {
  5. echo "zalogowany"';
  6. }
  7.  
  8. else
  9. echo "Podales/as bledny login lub haslo";
  10.  
  11. ?>
[PHP] pobierz, plaintext

no i pytanie moje czy to jest bezpieczne? Czy można jakoś podglądnąć co zawiera instrukcja warunkowa?Bo jeśli tak to pomysł jest kitowy :/
envp
20.04.2006, 08:35:43
Sposob prosty, ale malo uzyteczny, bo mozesz zabezpieczyc nim tylko jedna podstrone smile.gif No chyba ze login i pass bedziesz GET'em przesylal, co jest troche glupie bo kazdy moze sobie podejrzec wtedy login i pass. Poczytaj o sesjach w php - bardzo proste i uzyteczne, jesli Cie to interesuje podaj maila to Ci wysle prosty i zuyteczny kod...
piwib
20.04.2006, 22:04:10
No ok rzuć mi na piotrek369@tlen.pl zobacze i przeanalizuje smile.gif z góry thx
matrach
20.04.2006, 22:33:20
mysql_escape_string() -zamiana znaków specjalnych mysql
Cytat
Żeby sie nie wykonal wpisany kod php
- Nie evaluj tylko print/echo
htmlspecialchars()- zamienia określone znaczniki na encje (&..winksmiley.jpg
htmlentities() - zamienia znaczniki na odpowiadające encje
strip_tags()- usuwa znaczniki html i php
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.