Forum PHP.pl

1. wyslanie wiadomosci do nieistniejacego usera to nie luka
2. co za problem przechwycic blad i obsluzyc go? co za problem przed wyslaniem spr czy user istnieje? insert ignore? (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Czesc, mam pytanie dotyczace tablicy $_POST. Wiec napisalem wyrazenie regularne ktorego uzywam w funkcji preg_match.

Wiec wyrazenie to sprawdza czy tablica $_POST['dana'] przechowuje wartosc alfanumeryczna o dlugosci od 5 do 15 znakow, funkcja zwraca false lub true w przypadku gdy zwroci true wartosc z tablicy POST chce umiescic w bazie danych. Czy ten preg_match uchroni mnie przed kazdym atakie z pola formularza o nazwie "dana"? Czy moze lepiej zastosowac ctype_alnum, strlen i po otrzymaniu TRUE bawic sie dalej z ta zmienna?

Bo tak na chlopski rozum to powinno bronic (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Nie wiem było nie było, erix mnie już zbeształ że leniwy jestem i mi się szukać nie chce, to się odkupuje i kopie linkiem do funkcji zabezpieczającej przed atakami typu XSS:
http://snipplr.com/view/9596/secure-advanc...ip-tagsantixss/

pozdro.

A mogę wiedzieć w czym ta funkcja _Strip_Tag() podana przez cojacka w linku i inne tego typu funkcje pisane w tym wątku mają być lepsze od rdzennej strip_tags() napisanej przez osoby zajmujące się rozwojem języka PHP - osoby z wieloletnim, olbrzymim doświadczeniem oraz wiedzą ? Czyli jak rozumiem uważacie, że Wasza własna funkcja strip_tags() będzie lepsza od tej opracowanej przez ekspertów PHP ?

Ten post edytował nieraczek 18.06.2009, 07:17:28

Nie rozumiesz... strip_tags usuwa znaczniki html, http://pl2.php.net/strip_tags
a ten link co ja podałem wywala nam dodatkowo encje z linków. skrypty js etc..

A po co wywalać skrypty js skoro strip_tags() sprawia, że te skrypty - a właściwie już nie skrypty przestają być groźne, np.:

[PHP] pobierz, plaintext 
<?php
echo strip_tags("<script>alert('test')</script>");
?>
[PHP] pobierz, plaintext 

daje nam: alert('test')

[PHP] pobierz, plaintext 
<?php
echo strip_tags("<a href='test'>test</a>");
?>
[PHP] pobierz, plaintext 

daje nam: test

Nie bardzo widzę zwiększenia bezpieczeństwa.

[HTML] pobierz, plaintext 
<a href='test' onclick="alert('test');">test</a>
[HTML] pobierz, plaintext 

I Twoja teoria została obalona. (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Chyba nie czytałeś tego wątku od początku...

Nie bardzo rozumiem - zrobiłem specjalnie formularz żeby sprawdzić:

[PHP] pobierz, plaintext 
<?php
if(isset($_POST['przycisk']))
{
echo strip_tags($_POST['pole']);
//echo $_POST['pole'];
}
?>
 
<form action="index.php" method="post">
<input name="pole" type="text" />
<input name="przycisk" type="submit" />
</form>
[PHP] pobierz, plaintext 

Bez uzycia strip_tags() dostaję link po kliknięciu na który wyskakuje mi alert, ALE po użyciu strip_tags() dostaję zwykły tekst 'test'. Więc ? (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

IMO strip_tags to jedna z durniejszych funkcji. Ktoś coś wpisuje, patrzy... a tu część tekstu ucięta. Zdecydowanie lepiej użyć htmlspecialchars" title="Zobacz w manualu PHP" target="_manual.

Ok Crozin - ale istnieje w końcu coś co obali moją teorię o tym, że nie trzeba zastępować strip_tags() swoją własną bezpieczniejszą funkcją w stylu strip_tags() czy nie ? (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Wpisanie jakiego kodu w tym formularzu rozłożyłoby tę funkcję na łopatki ? (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Ten post edytował nieraczek 18.06.2009, 17:44:42

Zdecydowanie jestem za ~Crozin-em , więcej w tym wątku: http://forum.php.pl/index.php?showtopic=119475

Ale chodzi o to, że w całym tym wątku co kilka postów ludzie próbują pisać własne wersje tych dwóch funkcji: htmlspecialchars() i strip_tags() i podają swoje wersje tych funkcji - chciałbym więc po prostu dowiedzieć się w czym ich własne funkcje są bezpieczniejsze od tych opracowanych przez ekspertów PHP (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Blah, pomyślałem o czym innym. [;

"Blah, pomyślałem o czym innym. [; " - wiem o czym myślałeś, dlatego zrobiłem formularz ;] hehe (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

Ten post edytował nieraczek 18.06.2009, 19:21:07

tru tru (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) w zdecydowanej wiekszosci przypadkow pisanie wlasnych systemow filtracji nie sprawdza sie na polu walki :-) zawsze pominie sie 1 rzecz i cale zabezpieczenie idzie sie walic :-)

tak wiec tak gdzie jest to niewskazane, a nawet niezalecane lepiej nie wymyslac swoich tworow (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

kiedys zreszta pisalem o tym na blogu, ktorego jestem jedynym czytelnikiem http://www.beldzio.com/sens-tworzenia-wlas...temow-filtracji ;-)

Napisałem na potrzeby skryptu CMS nakładkę na htmlspecialchars(), która zajmuje się jeszcze cenzurą słów - http://pastebin.pl/9298 - mam nadzieję, że to nie jest złe podejście. BTW nie implementuję zaawansowanych mechanizmów cenzury. (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Co do strip_tags - webmasterzy często nadużywają tej funkcji. Wywołują ją zamiast htmlspecialchars() i myślą, że ich skrypt jest teraz bezpieczny. Kod HTML pochodzący z zewnątrz należy po prostu zamienić na encje. Funkcja czasami się jednak przydaje - gdy trzeba wyświetlić czysty tekst bez formatowania i bez kodu HTML.

Ale macie problemy, jak komuś jest potrzebne strip_tags to go użyje mi np do routingu jest potrzebny i go używam ile wlezie, w dodatku z joomli zakosiłem parę wyrażen regularnych, o to one (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[PHP] pobierz, plaintext 
<?php
if(preg_match('/mosConfig_[a-zA-Z_]{1,21}(=|%3D)/',$strInput))
            {
                $strInput = preg_replace('/mosConfig_[a-zA-Z_]{1,21}(=|%3D)/','',$strInput);
            }
            if(preg_match('/base64_encode.*(.*)/',$strInput))
            {
                $strInput = preg_replace('/base64_encode.*(.*)/','',$strInput);
            }
            if(preg_match('/(<|%3C).*script.*(>|%3E)/',$strInput))
            {
                $strInput = preg_replace('/(<|%3C).*script.*(>|%3E)/','',$strInput);
            }
            if(preg_match('/GLOBALS(=|[|%[0-9A-Z]{0,2})/',$strInput))
            {
                $strInput = preg_replace('/GLOBALS(=|[|%[0-9A-Z]{0,2})/','',$strInput);
            }
            if(preg_match('/_REQUEST(=|[|%[0-9A-Z]{0,2})/',$strInput))
            {
                $strInput = preg_replace('/_REQUEST(=|[|%[0-9A-Z]{0,2})/','',$strInput);
            }
?>
[PHP] pobierz, plaintext 

Śmiało, teraz mogą mi w gecie wsadzac co chcą, imo nie dadza rady.

A mnie zastanawia po jakie licho Ci preg_matche w tym.

Co wy na to, żeby zamiast backslashowania dane wysyłane do MySQL zakodować w base64 i w takiej postaci je trzymać w bazie? A przy wyświetlaniu odkodować i np. usunąć tagi html?

Ten post edytował legalizetrawka 20.07.2009, 12:46:50

Tylko jaki ma to sens? (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Po co kombinować ? Dasz backslashe i po sprawie. ;d