Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

[MySQL][PHP] filtrowanie danych z formularzy - bezpieczeństwo.

Doody Zobacz profil	15.09.2013, 14:34:49 Post #1
Grupa: Zarejestrowani Postów: 22 Pomógł: 0 Dołączył: 21.09.2008 Ostrzeżenie: (0%)	Kiedyś napisałem prosty CRM który działał ale był skrajnie niebezpieczny, tzn nie ma żadnego filtrowania danych przesyłanych z formularzy ani też tych zapisywanych w bazie. Teraz zająłem się właśnie kwestią bezpieczeństwa aby mój twór stał się w końcu przydatny. Na pierwszy ogień poszła kwestia panelu logowania i tu pytanie: czy sprawdzenia hasła i loginu jak poniżej jest Waszym zdaniem wystarczająco bezpieczne: [PHP] pobierz, plaintext <?php include('db_con.php'); //łączy z serwerem i wybiera bazę danych if(isset($_POST['login']) \|\| isset($_POST['haslo'])){ //sprawdza czy hasło lub login zostały wprowadzone i przesłane metodą POST session_start(); //rozpoczyna sesję $zapytanie = "SELECT * FROM biz_user WHERE p_login = '".trim($_POST['login'])."'"; // wybiera z bazy MySQL rekordy z komórką p_login równą podanemu loginowi if(preg_match('/^[a-zA-Z0-9.\-_]+\@[a-zA-Z0-9.\-]+\.[a-z]{2,4}$/D', trim($_POST['login'])) && mysql_num_rows(mysql_query($zapytanie)) > 0){ // sprawdza czy ilość znalezionych rekordów jest większa od zera oraz czy login będący adresem e-mail jest zgodny z odpowiadającym mu wyrażeniem regularnym $zapytanie = "SELECT * FROM biz_user WHERE p_login = '".$_POST['login']."'&& p_haslo = '".$_POST['haslo']."'"; // wybiera z bazy MySQL rekordy z komórką p_haslo równą podanemu hasłu i komórką p_login równą podanemu loginowi if(preg_match('/[^\/\'\`\"\n\s\\\\]{2,20}$/D', $_POST['haslo']) && mysql_num_rows(mysql_query($zapytanie)) > 0){ // sprawdza czy ilość znalezionych rekordów jest większa od zera $zapytanie = "SELECT * FROM biz_user WHERE p_login = '".$_POST['login']."' LIMIT 1"; // pobiera używane w sesji dane użytkownika while($wiersz=mysql_fetch_array(mysql_query($zapytanie))){ $_SESSION['user_id'] = $wiersz['p_id']; //zapisuje ID użytkownika w zmiennej sesyjnej $_SESSION['user'] = $wiersz['p_imie'].' '.$wiersz['p_nazwisko']; //zapisuje imię i nazwisko użytkownika w zmiennej sesyjnej $_SESSION['status'] = $wiersz['p_status']; //zapisuje ststus użytkownika w zmiennej sesyjnej break; } $_SESSION['zalogowany'] = true; header("Location: lista_firm.php"); } else{ header('Location: index.php?log_error=2'); } } else{ header('Location: index.php?log_error=1'); } } else{ echo' <center> <br /> <br /> <img src="picture/logo.png"> <br /> <br /> <h3>Logowanie do systemu</h3> '; if (isset($_GET['log_error'])){ $log_error=$_GET['log_error']; if ( $log_error == 1 ) echo '<b>Nie istnieje taki użytkownik! </b><br />'; if ( $log_error == 2 ) echo '<b>Podane hasło jest nieprawidłowe! </b><br />'; } echo' <form action="index.php" method="post"> <br /> Login: <input type="text" name="login" size="30"/><br/> <br /> Hasło: <input type="password" name="haslo" size="30"/><br/> <br /> <input class="przycisk" type="submit" value="WEJŚCIE" /><br/> </form> </center> '; } ?> [PHP] pobierz, plaintext Zakładam że loginem jest adres e-mail a hasło nie może zawierać znaków \ / ' ` " \n \s

Start new topic

Odpowiedzi (1 - 12)

redeemer Zobacz profil	15.09.2013, 14:56:47 Post #2
Grupa: Zarejestrowani Postów: 915 Pomógł: 210 Dołączył: 8.09.2009 Skąd: Tomaszów Lubelski/Wrocław Ostrzeżenie: (0%)	Nie jest w ogóle bezpieczne. W linii 5 i 7 masz błędy typu SQL injection. Dodatkowo zapytanie w linii 9 jest zupełnie niepotrzebne, bo przecież te dane już raz dostałeś w linii 7.

Doody Zobacz profil	15.09.2013, 16:08:25 Post #3
Grupa: Zarejestrowani Postów: 22 Pomógł: 0 Dołączył: 21.09.2008 Ostrzeżenie: (0%)	Czy teraz jest ok? [PHP] pobierz, plaintext if(isset($_POST['login']) \|\| isset($_POST['haslo'])){ if(!preg_match('/^[a-zA-Z0-9.\-_]+\@[a-zA-Z0-9.\-]+\.[a-z]{2,4}$/D', trim($_POST['login']))) header('Location: index.php?log_error=1'); else $clean['login']=trim($_POST['login']); if(!preg_match('/[^\/\'\`\"\n\s\\\\]{2,20}$/D', trim($_POST['haslo']))) header('Location: index.php?log_error=1'); else $clean['haslo']=trim($_POST['haslo']); $zapytanie = "SELECT * FROM biz_user WHERE p_login = '".$clean['login']."'"; if(mysql_num_rows(mysql_query($zapytanie)) > 0){ $zapytanie = "SELECT * FROM biz_user WHERE p_login = '".$clean['login']."'&& p_haslo = '".$clean['haslo']."'"; if(mysql_num_rows(mysql_query($zapytanie)) > 0){ while($wiersz=mysql_fetch_array(mysql_query($zapytanie))){ $_SESSION['user_id'] = $wiersz['p_id']; $_SESSION['user'] = $wiersz['p_imie'].' '.$wiersz['p_nazwisko']; $_SESSION['status'] = $wiersz['p_status']; break; } $_SESSION['zalogowany'] = true; header("Location: lista_firm.php"); } else{ header('Location: index.php?log_error=2'); } } else{ header('Location: index.php?log_error=1'); } } [PHP] pobierz, plaintext Wkleiłem tylko część odpowiedzialną za przetwarzanie danych.

ber32 Zobacz profil	15.09.2013, 16:34:08 Post #4
Grupa: Zarejestrowani Postów: 332 Pomógł: 22 Dołączył: 6.07.2010 Ostrzeżenie: (0%)	Witam. Nie http://pl.wikipedia.org/wiki/SQL_injection Cytat redeemer podał rozwiązanie lepiej PDO Ten post edytował ber32 15.09.2013, 16:37:13

Doody Zobacz profil	15.09.2013, 16:51:17 Post #5
Grupa: Zarejestrowani Postów: 22 Pomógł: 0 Dołączył: 21.09.2008 Ostrzeżenie: (0%)	Ale czy rzeczywiście tej kod jest ciągle podatny na SQL_injection. Przecież wyrażenia regularne eliminują możliwość przedostania się do zapytania niebezpiecznych znaków.

ber32 Zobacz profil	15.09.2013, 16:56:31 Post #6
Grupa: Zarejestrowani Postów: 332 Pomógł: 22 Dołączył: 6.07.2010 Ostrzeżenie: (0%)	Przeanalizuj te trzy linijki [PHP] pobierz, plaintext $clean['login']=trim($_POST['login']); if(!preg_match('/[^\/\'\`\"\n\s\\\\]{2,20}$/D', trim($_POST['haslo']))) $zapytanie = "SELECT * FROM biz_user WHERE p_login = '".$clean['login']."'"; [PHP] pobierz, plaintext i zobacz jak twój kod działa

foxbond Zobacz profil	15.09.2013, 16:58:41 Post #7
Grupa: Zarejestrowani Postów: 162 Pomógł: 12 Dołączył: 20.12.2009 Skąd: Siedlce Ostrzeżenie: (0%)	Nie wystarczy przypadkiem stare, dobre htmlspecialchars() i addslashes()

Doody Zobacz profil	15.09.2013, 17:27:31 Post #8
Grupa: Zarejestrowani Postów: 22 Pomógł: 0 Dołączył: 21.09.2008 Ostrzeżenie: (0%)	Zupełnie nie rozumiem dlaczego mam analizować akurat te trzy podane przez Ciebie linie kodu wyjęte z kontekstu. [PHP] pobierz, plaintext if(!preg_match('/^[a-zA-Z0-9.\-_]+\@[a-zA-Z0-9.\-]+\.[a-z]{2,4}$/D', trim($_POST['login']))) header('Location: index.php?log_error=1'); else $clean['login']=trim($_POST['login']); if(!preg_match('/[^\/\'\`\"\n\s\\\\]{2,20}$/D', trim($_POST['haslo']))) header('Location: index.php?log_error=1'); else $clean['haslo']=trim($_POST['haslo']); [PHP] pobierz, plaintext Wydaje mi się że jeśli string pobrany z formularza nie odpowiada wyrażeniu regularnemu to zostanie wykonany tylko header i nic więcej, a zmiennej $clean['login'] zostanie przypisana wartość zmiennej trim($_POST['login']) tylko jeśli login jest zgodny ze schematem. Czy się mylę i dlaczego? Ten post edytował Doody 15.09.2013, 17:28:45

ber32 Zobacz profil	15.09.2013, 17:35:42 Post #9
Grupa: Zarejestrowani Postów: 332 Pomógł: 22 Dołączył: 6.07.2010 Ostrzeżenie: (0%)	Sryy Cytat SQL Injection (z ang., dosłownie zastrzyk SQL) – luka w zabezpieczeniach aplikacji internetowych polegająca na nieodpowiednim filtrowaniu lub niedostatecznym typowaniu i późniejszym wykonaniu danych przesyłanych w postaci zapytań SQL do bazy danych. Podatne są na niego systemy złożone z warstwy programistycznej (przykładowo skrypt w PHP, ASP, JSP itp.) dynamicznie generującej zapytania do bazy danych (MySQL, PostgreSQL itp.). Wynika on zwykle z braku doświadczenia lub wyobraźni programisty.

Doody Zobacz profil	15.09.2013, 17:48:06 Post #10
Grupa: Zarejestrowani Postów: 22 Pomógł: 0 Dołączył: 21.09.2008 Ostrzeżenie: (0%)	Jestem początkujący ale co oznacza SQL Injection wiem. Rozumiem że skoro się wypowiadasz, to jesteś bardziej zaawansowany. Jeśli możesz wskaż po prostu proszę gdzie jest ta luka, bo jestem za głupi żeby zrozumieć twoje zdawkowe odpowiedzi. Cytowanie mi def. SQL Injection nic nie wnosi do tematu.

Turson Zobacz profil	15.09.2013, 21:45:58 Post #11
Grupa: Zarejestrowani Postów: 4 291 Pomógł: 829 Dołączył: 14.02.2009 Skąd: łódź Ostrzeżenie: (0%)	W liniach 5,7,9 masz kod podany na SQLi, z resztą już koledzy wyżej powiedzieli. Twoje filtrowanie ograniczyło się do trim(), czyli o dużo za mało.4 [PHP] pobierz, plaintext function filtruj($zmienna) { $zmienna=trim($zmienna); $zmienna=htmlspecialchars($zmienna); $zmienna=addslashes($zmienna); } [PHP] pobierz, plaintext Będzie bezpieczniej. Najlepiej zastosuj PDO BindValue()

gitbejbe Zobacz profil	16.09.2013, 09:46:37 Post #12
Grupa: Zarejestrowani Postów: 516 Pomógł: 63 Dołączył: 27.08.2012 Ostrzeżenie: (0%)	Musisz się jeszcze dużo uczyć Po pierwsze : if(isset($_POST['login']) \|\| isset($_POST['haslo'])) -- wystarczy sprawdzić czy istnieje submit session_start(); -- dałeś dopiero po warunku , dlaczego ? Później powstają tematy, że sesja nie działa na wszystkich stronach. Otwieraj sesje najlepiej na początku dokumentu. Wiem, ze to logowanie i po logowaniu ta strona nie bedzie dostepna, ale moze robisz ten sam błąd w innych dokumentach *$zapytanie = "SELECT FROM biz_user WHERE p_login = '".trim($_POST['login'])."'"; -- napisałeś, że znasz się na atakach typu sql. Nie znasz sie ani troche. Przestudiuj dokładnie o co z nimi chodzi a zobaczysz jak powazną luke masz w tym miejscu. Funckja trim przed niczym Cię tutaj nie chroni. jeśli jesteś początkujący, to jeśli piszesz sprawdzenie jakiegoś formularza to zacznij najpierw od zdefiniowania zmiennych, np: $login = mysql_escape_string($_POST['login']); $haslo = "$_POST['haslo']; Jeśli nie uzywasz PDO, to przeflitruj dodatkowo login przez wyrażenie regularne - to chyba najpewniejszy sposób. Dopiero po sprawdzeniu zmiennych tworzysz warunek, gdzie jesli obie te zmienne sa ok , to dopiero pobierasz dane z bazy (IMG:style_emoticons/default/exclamation.gif) ! Hasła nie musisz sprawdzać. Każdy powinien miec takie hasło jakie chce. Z bazy danych sprawdzac tylko czy jest taki login w bazie i pobierasz jego hasło. Jeśli hasło zgadza sie z tym podanym z formularza, to tworzysz sesje Ten post edytował gitbejbe** 16.09.2013, 09:51:07

Doody Zobacz profil	17.09.2013, 15:51:17 Post #13
Grupa: Zarejestrowani Postów: 22 Pomógł: 0 Dołączył: 21.09.2008 Ostrzeżenie: (0%)	Cytat(gitbejbe @ 16.09.2013, 10:46:37 ) Musisz się jeszcze dużo uczyć To nie podlega dyskusji. Cytat(gitbejbe @ 16.09.2013, 10:46:37 ) Po pierwsze : if(isset($_POST['login']) \|\| isset($_POST['haslo'])) -- wystarczy sprawdzić czy istnieje submit Tak też zrobię. Cytat(gitbejbe @ 16.09.2013, 10:46:37 ) session_start(); -- dałeś dopiero po warunku , dlaczego ? Później powstają tematy, że sesja nie działa na wszystkich stronach. Otwieraj sesje najlepiej na początku dokumentu. Wiem, ze to logowanie i po logowaniu ta strona nie bedzie dostepna, ale moze robisz ten sam błąd w innych dokumentach W pozostałych plikach mam start sesji na początku. dokładnie wygląda to tak: [PHP] pobierz, plaintext <?php session_start(); if(!isset($_SESSION['zalogowany'])) header("Location: index.php"); ?> [PHP] pobierz, plaintext Cytat(gitbejbe @ 16.09.2013, 10:46:37 ) *$zapytanie = "SELECT FROM biz_user WHERE p_login = '".trim($_POST['login'])."'"; -- napisałeś, że znasz się na atakach typu sql. Nie znasz sie ani troche. Przestudiuj dokładnie o co z nimi chodzi a zobaczysz jak powazną luke masz w tym miejscu. Funckja trim przed niczym Cię tutaj nie chroni. jeśli jesteś początkujący, to jeśli piszesz sprawdzenie jakiegoś formularza to zacznij najpierw od zdefiniowania zmiennych, np: $login = mysql_escape_string($_POST['login']); $haslo = "$_POST['haslo']; Jeśli nie uzywasz PDO, to przeflitruj dodatkowo login przez wyrażenie regularne - to chyba najpewniejszy sposób. Dopiero po sprawdzeniu zmiennych tworzysz warunek, gdzie jesli obie te zmienne sa ok , to dopiero pobierasz dane z bazy (IMG:style_emoticons/default/exclamation.gif) ! Nie napisałem że znam się na atakach typu sql. Napisałem że wiem co to jest atak typu SQL Injection, to spora różnica. Natomiast jeśli spojrzysz na mój drugi post, zauważysz że właśnie tak zrobiłem. Login jest przefiltrowany przez wyrażenie regularne, a dopiero później zmienna $clear['login'] umieszczona w zapytaniu do bazy. Cytat(gitbejbe @ 16.09.2013, 10:46:37 ) Hasła nie musisz sprawdzać. Każdy powinien miec takie hasło jakie chce. Z bazy danych sprawdzac tylko czy jest taki login w bazie i pobierasz jego hasło. Jeśli hasło zgadza sie z tym podanym z formularza, to tworzysz sesje Dzięki - rzeczywiście wystarczy porównać. Ten post edytował Doody** 17.09.2013, 16:05:12

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 22.08.2025 - 19:07

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn