Witam serdecznie,
Poszukuję funkcji do bezpiecznego zapisu/odczytu danych w bazie MySQL.
Użytkownicy mojej strony mają edytorek HTML i zapisują swoje dane w MySQL.
Poszukuję funkcji do bezpiecznego zapisu i odczytu tych danych do MySQL (z usunięciem niebezpiecznych tagów/js'ów itp).


Mógłbym prosić o podesłanie takich skryptów?


Bardzo proszę o pomoc,
Northwest

A co to ma do bazy danych? Poprostu albo escapuj dane przed wlozeniem, albo uzywaj bindowania jesli korzystasz z mysqli lub PDO i po sprawie.

używam takie coś:

[PHP] pobierz, plaintext 
function baza_zapis2($string) { 
    $string = preg_replace('/<script\b[^>]*>(.*?)<\/script>/is', "", $string);
    $string = htmlspecialchars($string, ENT_COMPAT, 'UTF-8');
    return $string;
}
 
// funkcja odczytujące dane w bezpiecznej formie (ulepszona wersja)
function baza_odczyt2($string) { 
    $string = htmlspecialchars_decode($string, ENT_COMPAT);
    return $string;
}
[PHP] pobierz, plaintext 

I potem za pomocą PDO zapisuję do bazy....

Czy to bezpieczne rozwiązanie?

Z tematu wynika ze chcesz zabezpieczyc poprawne wlozenie danych do bazy. Po raz kolejny ci mowie, ze wystarczy ze uzyjesz bindowania w PDO i nic wiecej nie musisz robic.

Jesli chcesz strone zabezpieczac przed np. XSS to mozesz przed wyswietleniem danych uzyc htmlspecialchars i juz. Wszystko zalezy co chcesz osiagnac.

W PDO robię zapis w takiej formie:

[PHP] pobierz, plaintext 
$stmt = $db->prepare("select COUNT(bf_id) AS ile from uzytkownicy WHERE login =:login;");
$stmt->bindValue(':login', baza_zapis($_POST["login"]), PDO::PARAM_STR);
$stmt->execute();
 
 
$stmt = $db->prepare("INSERT INTO uzytkownicy (login, haslo,typusera, opis) VALUES (:login, :haslo, :typusera, :opis);");
        $stmt->bindValue(':login', baza_zapis($_POST['login']), PDO::PARAM_STR);
        $stmt->bindValue(':haslo', baza_zapis($_POST['haslo']), PDO::PARAM_STR);
        $stmt->bindValue(':typusera', 1, PDO::PARAM_INT);
        $stmt->bindValue(':opis', baza_zapis($_POST['opis']), PDO::PARAM_STR);
        $stmt->execute();
 
[PHP] pobierz, plaintext 

i zastanawiam się czy istnieje jakieś jeszcze niebezpieczeństwo?

W funkcji zapisującej usuwam JS, do tego to PDO i zamiana HTML ... Coś jeszcze powinienem zrobić?


Wyczytałem gdzieś że opisy itp powinno zamieniać się na BBCode przed zapisem....

Zacznij prosze czytac ze zrozumieniem co sie do CIebie pisze. Powtarzam, tym razem postaraj sie skupic :/

By zapisac poprawnie i bezpiecznie dane do bazy, wystarczy ze uzyjesz binowania w PDO. Nic wiecej nie musisz robic. Nie musisz pozbawiac hasla znakow specjalnych. Po to ludzie wymyslają w haslach znaki specjalne by one tam byly i by jakis nadgorliwy poczatkujacy programista ich im nie kasowal....
Nie wspomne juz o tym, ze hasla w bazie nie powinny byc zapisane w jawnej postaci a w postaci hasha.

Zas zabezpieczenia danych wyswietlanych wprowadzanych przez usera to zupelnie inna bajka. Jak chcesz sie zabepieczyc przed XSS, czyli w skrocie rzecz mowiac, przed wykonaniem zlosliwego kodu js podanego przez usera, wystarczy ze przed wyswietleniem danych uzyjesz HTMLSPECIALCHARS. Przed wyswietleniem, a nie przed zapisem do bazy...

Co do bbcode to user ma pisac w bbcode a nie ty masz zamieniac na bbcode.... Ty przed wyswietleniem masz bbcode zamienic na normalny html.

Pod względem wydajnościowym może być lepiej trzymać treść oryginalną i sparsowaną w bazie. Bez sensu jest zatrudniać przed każdym wyświetleniem parser bbcode/markdown/textile/whatever do wygenerowania treści.

@viking tak, ale to juz kolejna dodatkowa kwestia. Najpierw niech autor opanuje podstawy.

OK, dziękuję bardzo za poradę

Mam jeszcze jedno pytanie,
Mam takie coś:

[PHP] pobierz, plaintext 
 
$base_host = "localhost";     // host mysql
$base_login = "root";    // użytkownik bazy danych
$base_haslo = "xxx";    // hasło bazy danych
$base_baza = "bazq";    // nazwa bazy danych
 
function login_check($mysqli) {
    //// jakaś funkcja
    if ($stmt = $db->prepare("SELECT password FROM user WHERE gt_id = :user_id LIMIT 1;")) {
            $stmt->bindValue(':user_id', $user_id);
            $stmt->execute();  
    }
 
}
[PHP] pobierz, plaintext 

Dlaczego wewnątrz tej funkcji nie widać tych zmiennych $base_

manual -> zasieg zmiennych.

tak, ale dane do połącznenia z pdo=>mysql mam poza funkcją....


Przepraszam,ale zły przykład napisałem powyżej:

[PHP] pobierz, plaintext 
$base_host = "localhost";     // host mysql
$base_login = "root";    // użytkownik bazy danych
$base_haslo = "xxx";    // hasło bazy danych
$base_baza = "baza";    // nazwa bazy danych
 
 
  $options = array(PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8'); 
    try 
    { 
        $db = new PDO("mysql:host={$base_host};dbname={$base_baza};charset=utf8", $base_login, $base_haslo, $options); 
    } 
    catch(PDOException $ex) 
    { 
        die("Failed to connect to the database: " . $ex->getMessage()); 
    } 
    $db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);  
    $db->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC); 
 
 
 
function login($email, $password, $mysqli) {   
 
 
 
    if ($stmt = $db->prepare("SELECT gt_id, username, password, salt  FROM cms_admin  WHERE username = :username LIMIT 1;")) {
        $stmt->bindValue(':username', $email);  
        $stmt->execute();  
 
}}
 
 
[PHP] pobierz, plaintext 

I już tutaj, wewnątrz funkcji nie widzi tego połączenia


otrzymuję błąd: Fatal error: Call to a member function prepare() on null in db.php on line 78

Toc wyraznie napisalem:
manual -> zasieg zmiennych

http://php.net/manual/en/language.variables.scope.php

OK, dziękuję

Mam jeszcze pytanie - czy takie rozwiązanie jest bezpieczne:

[PHP] pobierz, plaintext 
$stmtdwdw = $db->prepare("INSERT INTO komentarze (idusera, tresc) VALUES (:idusera, :tresc);");
$stmtdwdw->bindValue(':idusera', $_SESSION['id_usera'], PDO::PARAM_INT);
$stmtdwdw->bindValue(':tresc', $_POST['txt'], PDO::PARAM_STR);
$stmtdwdw->execute();
[PHP] pobierz, plaintext 

Chodzi mi o trzymanie ID użytkownika w sesji?

No tak, cos w sesji musisz trzymac by wiedziec kto zalogowany