Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP] include z $_GET
Forum PHP.pl > Forum > Przedszkole
desavil
6.03.2012, 08:51:23
Witam.
Zastanawiam się, czy to co robię jest bezpieczne dla mojego serwisu:
[PHP] pobierz, plaintext 
  1. <?php
  2. $get_page = $_GET['page'];
  3. if(!empty($get_page) && preg_match('/^[0-9a-zA-Z\-]*$/i', $get_page) && file_exists('pages/'.$get_page.'.php')){ require('pages/'.$get_page.'.php'); }else{ require('pages/index.php'); }
  4. ?>
[PHP] pobierz, plaintext

Czy już samo preg_match gwarantuje duże bezpieczeństo? Jak z niego wnioskuję nic oprócz podanych znaków/zakresów znaków nie przejdzie, czyli wprowadzenie w $_GET adresu URL, czy też próba wyjścia przed katalog pages (GET=../plik) będzie nie możliwe, gdyż są tam znaczniki które nie przejdą (/ , : .).
Dobrze myślę, czy się mylę? A może muszę jeszcze $get_page przepuścić przez htmlspecialchars, itp?

Tak samo z dodawaniem do bazy, jeżeli dane przejdą przez takiego preg_match'a to nie ma prawa wykonać się żaden sql injection, gdyż nie wprowadzi potencjalny włamywacz znaków, np. = ' " ` itp?

Pozdrawiam!
viking
6.03.2012, 08:57:00
Tylko widzisz, zawsze zostaje pytanie czy dobrze napisałeś regułkę REGEXP smile.gif Zabezpieczenie przed SQL injection ma być zawsze, jako dobry nawyk programowania.
desavil
6.03.2012, 09:00:17
Tak, ale raczej filtrowanie preg_match'em + gotowymi funkcjami do tego celu z PHP, raczej niema sensu?
W tak prostej regułce raczej nie można się pomylić smile.gif
by_ikar
6.03.2012, 10:21:05
A po co do tego regexp? Wystarczy zabronić takiemu ludkowi wychodzić katalog wyżej, i będzie mógł wówczas "otworzyć" pliki tylko te które są w danym katalogu. Druga sprawa. Przypisujesz wartość page z zmiennej get, i dopiero po przypisaniu sprawdzasz czy nie jest pusty/istnieje. A to powinieneś zrobić w pierwszej kolejności.. I taki kod może wyglądać mniej więcej tak:

[PHP] pobierz, plaintext 
  1. if(!empty($_GET['page']))
  2. {
  3.     $page = '/pages/'.basename($_GET['page']).'.php';
  4.  
  5.     if(file_exists($page))
  6.     {
  7.         require $page;
  8.     } else
  9.     {
  10.         // jakis komunikat ze strona nie istnieje
  11.         // przekierowanie na stronę błędu (404)
  12.         // czy co tam używasz u siebie
  13.     }
  14. } else
  15. {
  16.     require '/pages/index.php';
  17.  
  18.     // strona główna
  19. }
[PHP] pobierz, plaintext


W ten sposób nie musisz używać regexpów, masz możliwość powiadomienia o błędnym adresie. A co do sql injection, jest na to wiele sposobów, a najbardziej skutecznym IMO jest podpinanie zapytań w PDO. Wówczas nie trzeba (co nie znaczy że się nie powinno), się bawić w wyrażenia regularne i/lub filtrowanie wszystkich parametrów.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.