Forum PHP.pl

1. ctype_digit
2. str_replace

?

z ctype_digit() trzeba ostrożnie, bo jeśli nie dostanie stringa tylko int np. 34 to zwróci false, do tego jeśli string jest puszty "" to zwraca true.
dlatego jak ktoś chce użyć do sprawdzania danch np. z GET to powinien użyć takiego złożenia

[PHP] pobierz, plaintext 
<?php
if ( !empty($_GET['id']) && ctype_digit($_GET['id']) ){
   //dobre id (string składa się z samych liczb)
}else{
   //Zły, pusty/zawiera inne znaki
}
?>
[PHP] pobierz, plaintext 

Postanowiłem przyłączyć się do dyskusji. Kiepski ze mnie teoretyk więc od razu podam moj sposób rozuminienia tego o czym piszecie...

[PHP] pobierz, plaintext 
<?php
//clasa t_panel
class t_panel
{
	var $item_id; //pole trzymajace numer wiersza tabeli
	var $user_name; //pole trzymajacy nazwe pobraną z tabeli mysql
 
	function t_panel() //konstruktor klasy
	{
		$this->item_id = $_GET["item_id"]; //pobieranie numeru przekazanego za pomocą _get
		if (!is_int($this->item_id) $this->item_id = 0; //ustawianie na 0 jesli nie jest liczba całk.
		$this->load_data_from_database();
	}
 
	function load_data_from_database()
	{
		$query ="SELECT * FROM moja_tabela WHERE id=".$this->item_id." LIMIT 1";
		$result = mysql_query ( $query ) or die ( _MYSQL_ERROR_.":".mysql_error());
		$row = mysql_fetch_array($result, MYSQL_ASSOC);
		$this->user_name = $row["nazwa_uzytkownika"];
	}
 
	function drop()
	{
		echo $this->user_name;
	}
}
?>
[PHP] pobierz, plaintext 

Czy ktoś będzie się mógł mi włamać przy takim kodzie?

Ten post edytował Black-Berry 26.06.2007, 09:55:17

Nie, zawsze będzie 0, ponieważ tu jest błąd:

[PHP] pobierz, plaintext 
<?php
$this->item_id = $_GET["item_id"]; //pobieranie numeru przekazanego za pomocą _get
if (!is_int($this->item_id) $this->item_id = 0;
?>
[PHP] pobierz, plaintext 

Zmienne z tablicy $_GET są zawsze typu string, więc musisz najpierw rzutować na int, bo:

Tyle się rozpisaliście na tym wątku, a jak ktoś (chyba słusznie) zauważył nie da sie praktycznie włamać do bazy MYSQL za pomocją SQL injection jeśli zmienne przekazywane metodą _GET są tylko i wyłącznie liczbami (a jak sądzę tak jest w większości przypadków.klk

Myślę też, że jeśli w przypadku przekazywania stringów zastosujemy funkcję real_escape_string() to włamanie SQLInjection będzie niemożliwe. Jeśli się myslę to prosze mnie skorygować bo w tym wątku czas na wniski.

Pozdrawiam.

Ten post edytował Black-Berry 3.07.2007, 10:10:18

[SQL] pobierz, plaintext 
SELECT * FROM tabelka WHERE id = $_GET['id'];
[SQL] pobierz, plaintext 

-> $_GET['id'] = 5 or 1=1

wynik =

[SQL] pobierz, plaintext 
SELECT * FROM tabelka WHERE id = 5 OR 1=1
[SQL] pobierz, plaintext 

efekt: pobranie wszystkich wpisów

(IMG:http://forum.php.pl/style_emoticons/default/dry.gif) że też ja na to nie wpadłem.... (IMG:http://forum.php.pl/style_emoticons/default/worriedsmiley.gif)

Sory, że dalej drążę temat ale nie chcę się obudzic z ręką w nocniku później...
Czy takie funkcje mnie ochronią przed SQL Injection? Czy powinienem do nich coś jeszcze dodać ?

[PHP] pobierz, plaintext 
<?php
function mysql_valid_number( $a_value )
{
	if ( !empty( $a_value ) && ctype_digit( $a_value ) ){
		return $a_value;
	}else{
		return 0;
	}
}
 
function mysql_valid_string( $a_value )
{
	return mysql_real_escape_string( $a_value );
}
 
$id = mysql_valid_number( $_GET["id"] );
$name = mysql_valid_string( $_GET["name"] );
$query_1 = "SELECT * FROM mytable WHERE id = ".$id."";
$query_2 = "SELECT * FROM mytable WHERE name = ".$name."";
?>
[PHP] pobierz, plaintext 

EDIT: poprawiony return dla mysql_valid_string;

Ten post edytował Black-Berry 4.07.2007, 11:01:27

w mysql_valid_string return by się przydał

Black-Berry, po co tak kombinować? Po prostu do intów zawsze używaj (int) a do stringów mysql_real_escape_string albo PDO i bindParamy

A wiesz co uzyskasz po takim czymś:

[PHP] pobierz, plaintext 
<?php
$strIn = '-2';
$intT = (int)$strIn;
var_dump($intT);
if( ctype_digit($strIn) ){
   echo "Tylko cyfry";
}else{
   echo "Nie tylko cyfry";
}
?>
[PHP] pobierz, plaintext 

A trzeba pilnować, ja coś ma być liczbą dodatnią niech nią będzie, bo potem gdzieś ktoś nie przewidzi, że może być ujemną i się posypie, a czasem jest tak że nie wywala błędu i trzeba szukać.
Aby jakiś algorytm działał poprawnie, muszą być spełnione wszystkie warunki początkowe.

Jezeli ktos poda liczbe ujemna jako id rekordu, ktory ma zostac pobrany, a nie ma rekordu o takim id to nie dostanie z bazy nic ale o zadnym wlamaniu w ten sposob nie ma mowy.
Ja osobiscie stosuje rzutowanie (int) przy liczbach, a przy stringach robie sobie parametryzowane zapytanie PDO i bindParam i to starczy w zupelnosci.

@NoiseMc
Wiesz ale nie musi być to ID rekordu i nie zawsze musi działać jak myślisz, najlepiej jest zabezpieczyć tak, aby dostawał tylko to co oczekujesz.
Bo na tym to wszystko polega, że masz dostać tylko to co powinieneś, wtedy nie martwisz się o jakieś inne dziwne przypadki.

Ale po co kombinowac ...

[PHP] pobierz, plaintext 
<?php
	// url/?action=show&id=1
	$id = (int)$_GET['id']; // $id = 1 - rekord istnieje i go dostaniesz
 
	// url/?action=show&id=-1
	$id = (int)$_GET['id']; // $id = -1 - rekord moze nie istniec nic nie dostajesz
 
	// url/?action=show&id=zlosliwy sql'; --
	$id = (int)$_GET['id']; // $id = 0 - rowniez nic nie dostajesz
?>
[PHP] pobierz, plaintext 

Wystarczy w zupelnosci ... jezeli user poda w url-u prawidlowy ID to dostaje prawidlowy rekord ... jezeli nie to dostaje 'nic'. Nie chodzi o to zeby dostawac to co oczekujesz tylko o to zeby radzic robie z tym czego nie oczekujesz (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ten post edytował NoiseMc 9.08.2007, 16:26:43

Ech, ciągle ograniczasz się do ID, do tego ja mam podejście że jak robić to dobrze, a kontrola tego co się dostaje ma być dokładna, nie wiem co potem będę chciał z tym robić, ale najlepiej jak jest tym co chcę, a nie coś "co działa".

Edit: literówka

Ten post edytował Sedziwoj 9.08.2007, 18:16:49

Ja pisze o sposobach zabezpieczenia sie przed wstrzyknieciem zlosliwego SQL, a nie o walidacji danych wejsciowych. Jak wyprowadzasz psa na spacer to nie musisz sprawdzac czy nalezy do gatunku gryzacych ... wystarczy ze mu zalozysz kaganiec (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) tak wiec aby skutecznie ochronic sie przed SQL Injection wystarczy w zupelnosci to co napisal LEW21 i ja. Jezeli natomiast chodzi o walidacje danych wejsciowych bo na przyklad cena produktu musi byc liczba a jego adres url nie moze zawierac znakow specjalnych to w pelni sie z Toba zgadzam powinno sie sprawdzac wszystko ... a do tego uzywam Zend_Validate_* - bardzo prosta w uzyciu metoda, ktora w polaczeniu z Zend_Filter jest prosta, wygodna i porzadna.

Ten post edytował NoiseMc 9.08.2007, 19:14:56

Witam.
Używam kodu

[PHP] pobierz, plaintext 
<?php
function filtr($zmienna)
{
	$zmienna = htmlspecialchars(trim($zmienna));
	$zmienna = str_replace("r\n", "<br />", $zmienna);
	$zmienna = str_replace("'", "&#_039;", $zmienna); //Bez znaku "_"
	return $zmienna;
}
 
$autor = filtr($_POST['autor']);
$tresc = filtr($_POST['tresc']);
$sql = mysql_query("insert into shoutbox values ('NULL', '$autor', '$tresc')") or die("Błąd: ".mysql_error());
?>
[PHP] pobierz, plaintext 

Oraz standardowe pytanie (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)
Czy moje rozwiązanie jest bezpieczne, co byście zmienili?

Dołączam się do pytania... możebyśmy napisali wspólnie 2 ostateczne wersje funkcji czyszczących string oraz liczby typu float (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
@Sedziwoj Pomóż chłopie bo chyba tylko ty wiesz o co naprawdę chodzi (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Podrawiam.

Edit: błędy.

Ten post edytował Black-Berry 11.09.2007, 11:37:25

Jak sprawdzać dane typu string? To zależy co może w nich być a co nie...
Co do liczb jeśli liczba może być tylko dodatnia całkowita preferuję, a jest z GET (ważne, bo w tej metodzie zmienna musi być tylu string)

[PHP] pobierz, plaintext 
<?php
$cos = '4342';
if( !empty($cos) && ctype_digit($cos ) ){
   echo "tak";
   $int = (int)$cos;
}else{
   echo "nie";
}
?>
[PHP] pobierz, plaintext 

To jest dobre do sprawdzania np. ID
Przy liczbach które mogą być ujemne, lub/i zmiennoprzecinkowe możne użyć is_numeric() (ale trzeba pamiętać aby rzutować na typ oczekiwany, czyli nie pomijać (int)) ale znakiem dziesiętnym jest "." nie "," co może być problemem.
Jeśli mamy "," to wtedy trzeba użyć preg_match() i wzorze typu '/[-+]?[1-9][0-9]*([\\.,][0-9]*)?/' lub zamienić "," na "." i robić tą poprzednią metodą.

Wracając do string'ów, to na prawdę zależy co powinno być, a czego nie powinno. I o tym już było pisane, po znaj ' jest dla html właściwie obojętny, ale dla SQL może być zabójczy. Tylko że czasem go można zamienić używając htmlspecialchars() czy też można htmlentities() ale to zależy od specyfikacji, przy bazie mysql_escape_string() czy mysql_real_escape_string(), pg_escape_string() itd. itp.

@Endzio
Dla mysql NULL to jest typ, zaleca się

[PHP] pobierz, plaintext 
<?php
$str = 'cos ' . $cos . '...';
?>
[PHP] pobierz, plaintext 

czyli aby zmienne nie były w ciągu znaków, (przy zapytaniu SQL gdzie jest wiele ' można użyć ", ale też zmienne są wyizolowane od ciągu).


EDIT:
P.S. Ja tam nie znam się na tym dobrze... tylko trochę wiem.

Ten post edytował Sedziwoj 11.09.2007, 13:16:56

Co do pierwszego postu:



Ja zrobił bym po prostu:

A co zwraca funkcja settype" title="Zobacz w manualu PHP" target="_manual? Chyba pomyliło Ci się z intval" title="Zobacz w manualu PHP" target="_manual ;]