Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

[PHP]Filtrowanie danych : /

porywacz Zobacz profil	31.03.2012, 09:58:18 Post #1
Grupa: Zarejestrowani Postów: 55 Pomógł: 0 Dołączył: 16.03.2012 Skąd: Austria Ostrzeżenie: (0%)	Witam, napisałem stronę ze skryptem na includach. A dokładniej to ten skrypt sprawdza czy istnieje zmienna w tablicy get o nazwie 'subtopic' oraz czy ta zmienna zawiera na przykład 'kody'. Jeżeli warunki zostaną spełnione to skrypt includuje treść z pliku include_kody.php i wyświetla zawartość na stronie. Moje pytanie jest następujące, czy ten skrypt jest bezpieczny? Jak filtrować dane wyciągane z tablicy get? SKRYPT: [PHP] pobierz, plaintext <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en"> <head> <title>xCheats - Home</title> <meta http-equiv="Content-Type" content="html/text" charset=utf-8" /> <link rel="Stylesheet" type="text/css" href="style.css"/> </head> <body> <?php include('header_include.php'); ?> <div id="center"> <div id="center_left"></div> <div id="center_center"> <p style="margin:15px;"> <?php if(!isset($_GET['subtopic'])) { include('home_include.php'); } elseif(isset($_GET['subtopic']) && $_GET['subtopic'] == 'kody') { include('sub_kody.php'); } elseif(isset($_GET['subtopic']) && $_GET['subtopic'] == 'dodaj_kody') { include('sub_dodajkody.php'); } elseif(isset($_GET['subtopic']) && $_GET['subtopic'] == 'szukaj_kody') { include('sub_szukajkody.php'); } elseif(isset($_GET['subtopic']) && $_GET['subtopic'] == 'onas') { include('sub_onas.php'); } elseif(isset($_GET['subtopic']) && $_GET['subtopic'] == 'kontakt') { include('sub_kontakt.php'); } elseif(isset($_GET['subtopic']) && $_GET['subtopic'] == 'rejestracja') { include('rejestracja_include.php'); } ?> </p> </div> <?php include('menu_right_include.php'); include('footer_include.php'); ?> </body> </html> [PHP] pobierz, plaintext I nie chodzi mi tylko o ten skrypt. Chciałbym dowiedzieć się więcej na temat bezpieczeństwa, więc proszę o linki do poradników, tutów itd na temat jak stosować ten tak zwany escaping ^^ Bardzo proszę o pomoc Dodam też, że dopiero od niedawna interesuje się programowaniem w php, więc proszę o dość "przejrzyste" odpowiedzi Ten post edytował porywacz 31.03.2012, 10:04:32

Start new topic

Odpowiedzi (1 - 6)

tolomei Zobacz profil	31.03.2012, 10:49:41 Post #2
Grupa: Zarejestrowani Postów: 450 Pomógł: 135 Dołączył: 18.11.2010 Skąd: Wschowa Ostrzeżenie: (0%)	Witaj. Przy warunkach if ... elseif ... elseif zostanie wykonany ten blok poleceń, który jako pierwszy będzie prawidłowy, a reszta zostanie pominięta. Tak więc, gdy Twoja zmienna $_GET['subtopic'] będzie istniała to zostanie wykonany pierwszy blok if, a reszta pominięta. Mówiąc jeszcze prościej - Twoje elseif-y nie wykonają się nigdy. Co do ładowania podstron - jest to bezpieczne w takim formacie. Niestety nie jest to zbyt wydajne - wyobraź sobie 1000 podstron w Twoim serwisie. Możesz utworzyć automatyczne ładowanie plików. W takim wypadku trzeba porządnie filtrować zmienną, z której pobiera się dane pliku do includowania. Przykład: [PHP] pobierz, plaintext if(isset($_GET['subtopic'])) { // odfiltrowujemy wszystko co nie jest wielką/małą literą(bez polskich znaków), cyfrą lub podkreślnikiem $subtopic = preg_replace('#\W#', '', $_GET['subtopic']); if(file_exists('sites/'.$subtopic.'.php')) { include('sites/'.$subtopic.'.php'); } else { include('sites/index.php'); } } [PHP] pobierz, plaintext Pozdrawiam. -------------------- “ Computers are good at following instructions, but not at reading your mind. ” - Donald Knuth

porywacz Zobacz profil	31.03.2012, 11:02:06 Post #3
Grupa: Zarejestrowani Postów: 55 Pomógł: 0 Dołączył: 16.03.2012 Skąd: Austria Ostrzeżenie: (0%)	Nie rozumiem czemu moje elseify się niby mają nie wykonać? link do zakodowanej strony: www.porywacz.onuse.pl/czitypl/index.php Wszystko działa jak należy. W linkach w menu dodałem do adresu poszczególne nazwy zmiennych na przykład www.porywacz.onuse.pl/czitypl/index.php?subtopic=kody i wszystko działa jak należy. Pisałem ten skrypt więc chyba wiem jak działają elseif D Co do twojego skryptu nie wiele rozumiem ale poduczę się jeszcze php i poczytam trochę o funkcjach, które przedstawiłeś. Jeżeli mój sposób jest w miarę bezpieczny i poprawny to dziękuję za pomoc Przydałby się jeszcze jakiś poradnik jak filtrować dane pobierane i zapisywane z bazy danych, bo jest to chyba najbardziej podatne na ataki sql injection. Wielokrotnie pytałem już wujka google lecz niczego nie znalazłem ;( Pozdrawiam

crocodillo Zobacz profil	31.03.2012, 11:09:00 Post #4
Grupa: Zarejestrowani Postów: 215 Pomógł: 44 Dołączył: 31.07.2011 Skąd: wrocław Ostrzeżenie: (0%)	Cytat(porywacz @ 31.03.2012, 11:02:06 ) Przydałby się jeszcze jakiś poradnik jak filtrować dane pobierane i zapisywane z bazy danych, bo jest to chyba najbardziej podatne na ataki sql injection. Wielokrotnie pytałem już wujka google lecz niczego nie znalazłem ;( To coś się nie dogadujecie chyba z wujkiem: "php sql injection prevention", "php zabezpieczenie przed sql injection"

tolomei Zobacz profil	31.03.2012, 11:16:37 Post #5
Grupa: Zarejestrowani Postów: 450 Pomógł: 135 Dołączył: 18.11.2010 Skąd: Wschowa Ostrzeżenie: (0%)	Och... nie zauważyłem negacji w pierwszym warunku - mój błąd Jak pytałeś wujka i nic Ci nie powiedział to chyba musi szczególnie Cię nie lubić. O SQL Injection jest wiele wiele artykułów. http://www.poradnik-webmastera.com/artykul...l_injection.php http://4programmers.net/PHP/Ochrona_przed_...tion_-_podstawy http://niebezpiecznik.pl/post/przewodnik-p...eveloperow-php/ <-- prezentacja Poczytaj także o XSS. Wujek prawdę Ci powie(prawie zawsze) . -------------------- “ Computers are good at following instructions, but not at reading your mind. ” - Donald Knuth

porywacz Zobacz profil	31.03.2012, 12:31:45 Post #6
Grupa: Zarejestrowani Postów: 55 Pomógł: 0 Dołączył: 16.03.2012 Skąd: Austria Ostrzeżenie: (0%)	W takim razie bardzo dziękuję za pomoc Temat można już zamknąć, chyba, że ktoś jeszcze chce się podzielić ze mną istotnymi informacjami Aha i jeszcze mam jeden mały problem U mnie wyświetla polskie znaki a u innych nie O Znaczy nie wiem czy u wszystkich ale paru kolegom nie wyświetla Nie wiem co może być nie tak, kodowanie jest ustawione na utf-8 ;/

tolomei Zobacz profil	31.03.2012, 12:49:30 Post #7
Grupa: Zarejestrowani Postów: 450 Pomógł: 135 Dołączył: 18.11.2010 Skąd: Wschowa Ostrzeżenie: (0%)	Trzeba pamiętać o formacie zapisu pliku. Plik powinien także mieć kodowanie utf-8. Najlepiej ściągnąć Notepad++ i tam ustawić kodowanie na "UTF8 bez BOM". Windowsowy notatnik zapisze plik w formie ANSI co powoduje krzaczki. -------------------- “ Computers are good at following instructions, but not at reading your mind. ” - Donald Knuth

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 20.08.2025 - 20:06

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn