Forum PHP.pl > [PHP][MYSQL]Filtrowanie danych

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: [PHP][MYSQL]Filtrowanie danych

ArekJ

17.09.2008, 15:08:55

Witam,

mam pytanie, czy dobrze zastosowałem filtrowanie danych w tym skrypcie(błędów nie wywala, ale nie wiem jak sprawdzić czy filtruje). A oto kod:

[PHP] pobierz, plaintext 
<?php
els:
 
dbConnect('xxx');
        
$login=htmlspecialchars($_POST['login']);
$haslo=htmlspecialchars($_POST['haslo']);
$email=htmlspecialchars($_POST['email']);
 
 
$login=strip_tags($_POST['login']);
$haslo=strip_tags($_POST['haslo']);
$email=strip_tags($_POST['email']);
 
        
if (!check_email($_POST['email']) || $_POST['login']=='' || $_POST['haslo']=='' || $_POST['email']=='') {
error('Błąd podczas wypełniania formularzu! Popraw go i spróbuj ponownie. Możliwe błęd:    \n'.'-puste pole,\n'.'-błędny e-mail.');
}
   
 
$sql = 'SELECT COUNT(*) FROM uzytkownik WHERE login = "'.$_POST['login'].'"';
$result = mysql_query($sql);
if (!$result) {
error('Błąd w zapytaniu SQL');
}
if (@mysql_result($result,0,0)>0) {
error('Wybrany login jest zajęty. \n'.
'Proszę wpisać inny login. ');
}
 
$sql = 'INSERT INTO uzytkownik SET
login = "'.$_POST['login'].'",
haslo = md5("'.$_POST['haslo'].'"), 
email = "'.$_POST['email'].'"';
if (!mysql_query($sql)) error('Błąd w zapytaniu SQL');
 
echo('<HTML> 
<HEAD> 
<meta http-equiv="Content-Type" content="text/html;charset=UTF-8" />
<TITLE>Rejestracja zakończona</TITLE>
<STYLE type=\"text/css\">
<!--
BODY, { font: 8pt; font-famil: Verdana, Arial; text-decoratio: none }
-->
</STYLE>
</HEAD> 
<BODY>
<P><B>Rejestracja zakończona pomyślnie!</B></P>
<P>Logi: <B>'.$_POST['login'].'</B><BR>
Hasło: <B>'.$_POST['haslo'].'</B></P>
');
 
endif
?>
[PHP] pobierz, plaintext

I mam jeszcze pytanie o inne metody zabezpieczania i o wskazówki jak je zastosować

b4x

17.09.2008, 15:31:10

Najprościej: mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual ;] czyli np.

[PHP] pobierz, plaintext 
<?php
mysql_query ('SELECT * FROM `users` WHERE `login` = "'.mysql_real_escape_string($logn).'"');
?>
[PHP] pobierz, plaintext

htmlspecialchars + strip_tags - nie zabezpieczy Cię przed SQL Inject

bo spróbuj np. do zapytania zarzucić: '
- dlatego polecam mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual

Po 2 gie, jak definiujesz zmienne np:

[PHP] pobierz, plaintext 
<?php
$login=htmlspecialchars($_POST['login']); // o to mi chodzi.
$sql = 'SELECT COUNT(*) FROM uzytkownik WHERE login = "'.$_POST['login'].'"';
?>
[PHP] pobierz, plaintext

To spójrz - dane nieprzefiltrowane się dostaną, bo tylko zmienna $login jest filtrowana. A Ty w zapytaniu do mysql odnosisz się do danych przesłanych w formularzu.

Poprawnie powinno wyglądać:

[PHP] pobierz, plaintext 
<?php
$sql = 'SELECT COUNT(*) FROM uzytkownik WHERE login = "'.mysql_real_escape_string($login).'"'; //&nbsp:P
?>
[PHP] pobierz, plaintext

ArekJ

17.09.2008, 15:46:56

A czemu tutaj:

[PHP] pobierz, plaintext 
<?php
$sql = 'SELECT COUNT(*) FROM uzytkownik WHERE login = "'.mysql_real_escape_string($login).'"'; //&nbsp:P
?>
[PHP] pobierz, plaintext

jest filtrowana całość? Przecieź w skrypcie występuje tylko zmienna $login?

I po drugie rozumiem, źe mam usunąć:

[PHP] pobierz, plaintext 
<?php
$login=htmlspecialchars($_POST['login']);
$haslo=htmlspecialchars($_POST['haslo']);
$email=htmlspecialchars($_POST['email']);
 
 
$login=strip_tags($_POST['login']);
$haslo=strip_tags($_POST['haslo']);
$email=strip_tags($_POST['email']);
?>
[PHP] pobierz, plaintext

bo to nie zapewnia mi bezpieczeństwa?

b4x

17.09.2008, 15:53:00

Ja bym to tak zrobił

[PHP] pobierz, plaintext 
<?php
 
    $login = htmlspecialchars(strip_tags($_POST['login']));
    $haslo = md5($_POST['haslo']);
    $email = htmlspecialchars(strip_tags($_POST['email']));
 
    if (!check_email($_POST['email']) || $_POST['login']=='' || $_POST['haslo']=='' || $_POST['email']=='') {
 
        error('Błąd podczas wypełniania formularzu! Popraw go i spróbuj ponownie. Możliwe bł&#281:    \n'.'-puste pole,\n'.'-błędny e-mail.');
 
    }
 
 
    $sql = 'SELECT COUNT(*) FROM uzytkownik WHERE login = "'.mysql_real_escape_string($login).'"';
 
    $result = mysql_query($sql);
 
        if (!$result) {
 
            error('Błąd w zapytaniu SQL');
 
        }
    
        if (@mysql_result($result,0,0)>0) {
            error('Wybrany login jest zajęty. \n'.
            'Proszę wpisać inny login. ');
        }
 
 
        $sql = 'INSERT INTO uzytkownik SET login = "'.mysql_real_escape($login).'", haslo = "'.$haslo.'", email = "'.mysql_real_escape_string($email).'"';
 
            if (!mysql_query($sql)) error('Błąd w zapytaniu SQL');
    
            echo('<HTML>
                <HEAD>
                <meta http-equiv="Content-Type" content="text/html;charset=UTF-8" />
                <TITLE>Rejestracja zakończona</TITLE>
                <STYLE type=\"text/css\">
                <!--
                BODY, { fo: 8pt; font-famil: Verdana, Arial; text-decoratio: none }
                -->
                </STYLE>
                </HEAD>
                <BODY>
                <P><B>Rejestracja zakończona pomyślnie!</B></P>
                <P>Lo: <B>'.$login.'</B><BR>
                Hasło: <B>'.$haslo.'</B></P>
            ');
 
?>
[PHP] pobierz, plaintext

;]

ArekJ

17.09.2008, 15:57:46

Dobra

jak wrócę do domu to sprawdze czy działa, ale mam nadzieję, źe tak. I jeszcze pytanie o inne formy zabezpieczania? I czy jak będę robił skrypt logoania to teź muszę zabezpieczać w ten sposób:

[PHP] pobierz, plaintext 
<?php
$login = htmlspecialchars(strip_tags($_POST['login']));
?>
[PHP] pobierz, plaintext

b4x

17.09.2008, 16:01:44

"I jeszcze pytanie o inne formy zabezpieczania?" - to z zupełnością powinno wystarczyć

Możesz np. napisać sobie funkcję która ułatwi Ci życie

[PHP] pobierz, plaintext 
<?php
function filtruj($string) {
 
return htmlspecialchars(strip_tags($string));
 
}
?>
[PHP] pobierz, plaintext

Wtedy np. wystarczyłoby :

[PHP] pobierz, plaintext 
<?php
$login = filtruj($_POST['login']);
?>
[PHP] pobierz, plaintext

ArekJ

17.09.2008, 16:02:40

I to samo muszę zastosować do maila?

b4x

17.09.2008, 16:05:20

Jeśli chcesz, to możesz. Ale widzę że do maila masz jakąś funkcję odpowiedzialną za jego sprawdzanie. (Czy jest poprawny.)

Czyli zapewne ta funkcja nie przyjmuje znaków specjalnych typu ^'% itd.

Więc wtedy maila nie musisz.

http://webmade.org/porady/bezpieczenstwo-p...on-xss-csrf.php

Poczytaj, może to Ci bardziej wszystko naświetli

ArekJ

17.09.2008, 20:09:50

A hasło też mam filtrować?

P.S. A z tej strony co podałeś to się dowiedziałem jakie funkcje odpowiadają za filtrowanie

EDIT:

Nie działa :/ Gdy daje

[PHP] pobierz, plaintext 
<?php
$login = htmlspecialchars(strip_tags($_POST['login']));
   $haslo = md5($_POST['haslo']);
   $email = htmlspecialchars(strip_tags($_POST['email']));
 
   if (!check_email($_POST['email']) || $_POST['login']=='' || $_POST['haslo']=='' || $_POST['email']=='') {
 
       error('Błąd podczas wypełniania formularzu! Popraw go i spróbuj ponownie. Możliwe bł&#28:    \n'.'-puste pole,\n'.'-błędny e-mail.');
 
   }
 
 
   $sql = 'SELECT COUNT(*) FROM uzytkownik WHERE login = "'.mysql_real_escape_string($login).'"';
 
   $result = mysql_query($sql);
 
       if (!$result) {
 
           error('Błąd w zapytaniu SQL');
 
       }
   
       if (@mysql_result($result,0,0)>0) {
           error('Wybrany login jest zajęty. \n'.
           'Proszę wpisać inny login. ');
       }
 
 
       $sql = 'INSERT INTO uzytkownik SET login = "'.mysql_real_escape($login).'", haslo = "'.$haslo.'", email = "'.mysql_real_escape_string($email).'"';
 
           if (!mysql_query($sql)) error('Błąd w zapytaniu SQL');
   
           echo('<HTML>
               <HEAD>
               <meta http-equiv="Content-Type" content="text/html;charset=UTF-8" />
               <TITLE>Rejestracja zakończona</TITLE>
               <STYLE type=\"text/css\">
               <!--
               BODY, { fo: 8pt; font-famil: Verdana, Arial; text-decoratio: none }
               -->
               </STYLE>
               </HEAD>
               <BODY>
               <P><B>Rejestracja zakończona pomyślnie!</B></P>
               <P>Lo: <B>'.$login.'</B><BR>
               Hasło: <B>'.$haslo.'</B></P>
           ');
?>
[PHP] pobierz, plaintext

To wywala:

Kod

Fatal error: Call to undefined function mysql_real_escape() in /home/accounts_a/arekj/public_html/rejestracja.php on line 94

Jakieś pomysły?

morwo

18.09.2008, 13:51:39

Przydałby się jeszcze kurs czytania angielskiego ze zrozumieniem

Cytat(ArekJ @ 17.09.2008, 21:09:50 )

Kod

Fatal error: Call to undefined function mysql_real_escape() in /home/accounts_a/arekj/public_html/rejestracja.php on line 94

Pozwolicie, że przetłumacze "po swojemu", bo angielski mój nie najlepszy

Cytat

Kod

Błąd krytyczny: Wywołano niezdefiniowaną funkcje mysql_real_escape() w /home/accounts_a/arekj/public_html/rejestracja.php w linii 94

Czaisz? Jesli sam nie napisałeś, to funkcja mysql_real_escape() nie istnieje. Koledzy wyżej pisali o funkcji mysql_real_escape_string()" title="Zobacz w manualu PHP" target="_manual, którą kilka razy zastosowałeś w wyżej wymienionym skrypcie.

Poza tym przeważnie używam htmlentities()" title="Zobacz w manualu PHP" target="_manual z odpowiednimi parametrami i z tego, co się orientuje równie dobrze mnie zabezpieczy przed SQLInjection, jak mysql_real_escape_string()" title="Zobacz w manualu PHP" target="_manual

ArekJ

18.09.2008, 19:00:47

Dzięki, na tym poziomie to znam angielski, ale nie zauważyłem, że funkcja powinna się inaczej nazywać

Proszę o zamknięcie tematu

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.