Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP]Walidacja formularza, zabezpieczenie przed niechcianym kodem
Forum PHP.pl > Forum > Przedszkole
!*!
13.09.2008, 03:17:48
Mógłby kto¶ wychwycić ewentualne błedy w zabezpieczeniu takiego formularza? Pytania w komętarzach:

[PHP] pobierz, plaintext 
  1. <?php
  2. $login = $_POST['login']; 
  3. $login = stripslashes(mysql_real_escape_string(strtolower(trim($login))));
  4. $login = ereg_replace('[^a-zA-Z0-9_]', '', $login); //tylko małe litery, liczby oraz _ ; A-Z jest w wypadku gdyby kto¶ wpisał login z dużej litery.
  5.  
  6. //taki filtr na hasło wystarczy, które  i tak jest kodowane md5?
  7. $haslo = mysql_real_escape_string($_POST['haslo']);
  8. $haslo2 = mysql_real_escape_string($_POST['haslo2']);
  9.  
  10. $imie = ereg_replace('[^a-zA-Z±ˇćĆęĘłŁńŃóÓ¶¦Ľ¬żŻ]', '',$_POST['imie']); // znaki od aA do zZ, polskie
  11. $nazwisko = ereg_replace('[^a-zA-Z±ˇćĆęĘłŁńŃóÓ¶¦Ľ¬żŻ-]', '',$_POST['nazwisko']); // znaki od a do z, polskie oraz my¶link w wypadku naziwska dwuczłonowego.
  12.  
  13. $email = stripslashes(htmlspecialchars(trim($_POST['email']))); 
  14.  
  15. //$radio, $dzień, $miesi±c i $rok trzeba filtrować skoro to liczby z selecta? Je¶li tak to czym?
  16. $dzien = $_POST['dzien'];
  17. $miesiac = $_POST['miesiac']; 
  18. $rok = $_POST['rok']; 
  19. $dataurodzenia = ''.$rok.'-'.$miesiac.'-'.$dzien.'';
  20. $radio = $_POST['plec'];
  21.  
  22. // $kraj, nazwa może być dwuczłonowa np. Wyspa Wielkanocna
  23. $kraj = $_POST['kraj'];
  24. $kraj = stripslashes(mysql_real_escape_string(trim($kraj)));
  25. $kraj = ereg_replace('[^a-zA-Z]', '', $kraj); //tylko małe, duże
  26.  
  27. $wojewodztwo = $_POST['wojewodztwo'];
  28. $wojewodztwo = stripslashes(mysql_real_escape_string(trim($wojewodztwo))); 
  29. $wojewodztwo = ereg_replace('[^a-zA-Z±ˇćĆęĘłŁńŃóÓ¶¦Ľ¬żŻ-]', '',$wojewodztwo); // znaki od a do z, polskie oraz -
  30.  
  31. $miasto = $_POST['miasto']; 
  32. $miasto = stripslashes(mysql_real_escape_string(trim($miasto))); 
  33. $miasto = ereg_replace('[^a-zA-Z±ˇćĆęĘłŁńŃóÓ¶¦Ľ¬żŻ-]', '',$miasto); // znaki od a do z, polskie
  34. ?>
[PHP] pobierz, plaintext


Sprawdzanie:

[PHP] pobierz, plaintext 
  1. <?php
  2. if (isset($_POST['sprawdz']))  
  3. { 
  4.  
  5.  
  6. //weryfikacja loginu  
  7. if(strlen($login)<4 or strlen($login)>20 or !eregi("^[a-zA-Z0-9_.]+$",$login)){
  8. $error=1;$errorlogin = "<span class='error'>Akceptowany log: <br />- od 4 do 20 znaków bez polskich liter i spacji.</span>";}
  9. if(!ereg_replace('[^a-z0-9_]', '', $login)){$error=1;$errorlogin = "<span class='error'>Login zawiera niedozwolone znaki.</span>";}
  10.  
  11.                
  12. if (empty($haslo)) {$error=1;$errorhaslo = "<span class='error'>Wypełnij pole hasło</span>";}
  13.  
  14. if ($haslo != $haslo2) {$error=1;$errorhaslo = "<span class='error'>Podane hasła, nie s± takie same.</span>";}
  15.  
  16. if (empty($imie)) {$error=1;$errorimie = "<span class='error'>Wypełnij pole imie.</span>";}
  17.  
  18. if(strlen($imie)<3 or strlen($imie)>64 or !eregi("^[a-zA-Z±ćęłń󶿼ˇĆĘŁŃÓ¦Ż¬_.]+$",$imie)){$error=1;$errorimie = "<span class='error'>Imię musi mieć min. 3 litery, bez spacji.</span>";}
  19.  
  20. if (empty($nazwisko)) {$error=1;$errornazwisko = "<span class='error'>Wypełnij pole nazwisko.</span>";}
  21.  
  22. if(strlen($nazwisko)<3 or strlen($nazwisko)>64 or !eregi("^[a-zA-Z±ćęłń󶿼ˇĆĘŁŃÓ¦Ż¬-]+$",$nazwisko)){$error=1;$errornazwisko = "<span class='error'>Nazwisko musi mieć min. 3 litery, bez spacji.</span>";}
  23.  
  24. if (empty($kraj)) {$error=1;$errorkraj = "<span class='error'>Wypełnij pole kraj.</span>";}
  25. if (empty($wojewodztwo)) {$error=1;$errorwojewodztwo = "<span class='error'>Wypełnij pole województwo.</span>";}
  26. if (empty($miasto)) {$error=1;$errormiasto = "<span class='error'>Wypełnij pole miasto.</span>";}
  27.  
  28. //weryfikacja maila 
  29. if(!preg_match('|^[_a-z0-9.-]*[a-z0-9]@[_a-z0-9.-]*[a-z0-9].[a-z]{2,3}$|e', $email)){$error=1;$erroremail ="<span class='error'>Niepoprawny email</span>";} 
  30.  
  31. if ($radio =='1') {$errorradio = "checked='checked'";}
  32.  
  33. if ($radio =='2') {$errorradio2 = "checked='checked'";}
  34.  
  35. if (empty($radio)) {$error=1;$errorradio3 = "<span class='error'>Zaznacz odpowiedni± opcję</span>";}
  36.  
  37. if ($token != $token2){$error=1;$errortoken = "<span class='error'>Przepisz kod poprawnie</span>";}
  38. ?>
[PHP] pobierz, plaintext


Jak można w metaznakach ograniczyć możliwo¶ć zrobienia tylko jednej spacji ?
kazag
13.09.2008, 07:03:58
Co do danych z selecta, ja osobi¶cie wymuszam na nich typ (jeżeli s± liczbowe, jeżeli również tekstowe, to filtruje), żeby kto¶ mi jakim¶ cudem nie przesłał czego¶ innego...
Pilsener
13.09.2008, 10:09:38
Raz robisz ereri, raz pregi - zdecyduj się! Najlepiej dzi¶ robić wszystko na pregach.
Standardowo walidujesz:
- usuwasz kod HTML (htmlspecialchars, striptags)
- usuwasz niedozwolone znaki (addslashes)

I robisz tak DLA KAŻDEGO elementu tablicy post (nieważne, czy select czy radio) - co z tego, że na stronie masz selecta - to tylko interpretacja przegl±darki. Ja Ci mogę przez http wysłać tablicę $_POST['dzien'] zawieraj±c± "urabura" od razu na serwer.

Pola:
imię - pierwsza litera duża, reszta małe, maksymalnie jedna spacja, minimum 3 znaki maksimum 20 - tak, żeby walidowało tylko imiona typu "Jan Maria" etc.
nazwisko - podobnie jak imię, tylko zamiast spacji my¶lnik
email - wiadomo - dodatkowo możesz dać listę akceptowalnych domen, np. @ab.cl, @qw.er
data - sprawdzaj, czy data jest poprawn± dat± gregoriańsk± (checkdate)
kraj i województwo - pierwsza litera duża etc - ja bym dał tu wybór z pola select albo chociaż sprawdzanie w bazie (czy kraj to nie jest ABC)
!*!
13.09.2008, 17:26:15
Ok, wyszło co¶ takiego:

[PHP] pobierz, plaintext 
  1. <?php
  2. session_start();
  3.  
  4. if (isset($_POST['sprawdz']))  
  5. { 
  6.  
  7. $login = $_POST['login']; 
  8. $login = strip_tags(stripslashes(htmlspecialchars($login)));
  9. #$login = ereg_replace('[^a-zA-Z0-9_ ]', '', $login); //tylko małe litery, liczby oraz _ ; A-Z jest w wypadku gdyby kto¶ wpisał login z dużej litery.
  10.  
  11. echo 'pobrane prze: '.$_POST['login'].'<br />';
  12. echo 'pobrane po: '.$login.'<br/>';
  13. echo 'wysyła do baz: '.mysql_real_escape_string(trim($login)).'<br>';
  14.  
  15. //weryfikacja loginu 
  16. if(preg_match("/[A-Z]/",$login)){$error=1;$errorlogin = "<span class='error'>Tylko małe litery.</span>";} //w przypadku pojawienia się dużych liter w wyrazie
  17. if(preg_match("/[ ]/",$login)){$error=1;$errorlogin = "<span class='error'>Wpisz login bez spacji.</span>";} //usuwanie sapcji
  18. if(preg_match("/[!@#$%^&*(){}-=+<>.~;\"'/]/",$login)){$error=1;$errorlogin = "<span class='error'>Login zawiera niedozwolone znaki.</span>";}
  19. if(preg_match("/[±ˇćĆęĘłŁńŃóÓ¶¦Ľ¬żŻ]/",$login)){$error=1;$errorlogin = "<span class='error'>Login nie może mieć polskich znaków.</span>";}
  20. if(strlen($login)<4 or strlen($login)>20 or preg_match("[^a-z0-9_]",$login)){
  21. $error=1;$errorlogin = "<span class='error'>Akceptowany logi: <br />- od 4 do 20 znaków bez polskich liter i spacji.</span>";}
  22. ?>
[PHP] pobierz, plaintext


Teraz jest to odpowiednio zabezpieczone? I nie ma prawa wysłać czego¶ niechcanego do bazy? echo dałem sobie aby sprawdzić czy jest dobrze.
To jest wersja lo-fi głównej zawarto¶ci. Aby zobaczyć pełn± wersję z większ± zawarto¶ci±, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.