Forum PHP.pl

@pyro racja wole sobie sam cos napisac z bugiem niz uzyc gotowca i nie wiedziec nawet dlaczego szlo obejsc aplikacje nie rozumiem ludzi ktorzy uzywaja gotowe klasy mowia ze maja racje a jak im sie ktos wlamie placze ludzie sie ucza na wlasnych bledach nie na cudzych

P.S @LonelyKnight nie sugeruje ze sie lepiej od ciebie znam.....

po co pisać z bugiem? Pisz tak aby ich nie było... wiele programistów z lenistwa po napisaniu kodu nie sprawdza go pod kątem bezpieczeństwa... to jest główny powód powstawania security bugów

Lonely, które z tych przykladow na tej stronce co podałeś omija strip_tags?

// EDIT

@LonelyKnight chyba sam sobie odpowiedział i usunął posta (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Ten post edytował pyro 15.06.2008, 22:23:39

Fakt zawsze sprawdzam ale w niektorych sprawach nie jestes az tak kompetentny zeby wylapac bug (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) staram sie jak moge


No faktycznie

... i widzisz pyro w tym momencie zaryzykuję stwierdzenie, że Twoje aplikacje są dziurawe. Jest tyle ataków XSS, że strip_tags nie jest najlepszym rozwiązaniem, wręcz jednym z gorszych. Jeśli stosujesz wyłącznie takie zabezpieczenia to w momencie kiedy komuś będzie zależało, żeby Ci namieszać to zrobi to. Nawet w manualu na który tu się powołujesz piszą...



...a to znaczy również to, że czasami usuwa za dużo ale czasami również za mało.

-- edit

Usunąłem posta żeby dopisać odpowiedź na Twojego (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Teraz masz całość

--- edit 2

Sprawdź LINK i poczytaj komentarze w manualu pod strip_tags. Dla mnie koniec tematu - nie mam zamiaru więcej Cię uświadamiać ;-)

Ten post edytował LonelyKnight 15.06.2008, 22:30:28

... i widzisz @LonelyKnight nigdy (chyba) nie widziałeś żadnej z mojej aplikacji, używam własnych funkcji zabezpieczających i dotąd nikomu nie udało się ich obejść, oczywiście nie mówie ze w moich skryptach na 100% nie ma luk... zawsze istnieej jakaś szansa, że tkwi bug, ale jak dotychczas nikomu to sie nie udało

// ADD

Lonely, które z tych przykladow na tej stronce co podałeś omija strip_tags? Nie mówię tego ironicznie, chętnie poczytam (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ten post edytował pyro 15.06.2008, 22:31:42

W sumie lepszym rozwiazaniem to juz jest htmlspecialchars() (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Użyłem strip_tags(), wcale to lepiej nie wygląda, ale chyba pod względem funkcjonalności będzie ok.

To nasze zdania na ten temat są bardzo różne (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) bo uważam, że pisanie własnych funkcji zabezpieczających jest ryzykowne. Nie można być specjalistą we wszystkim a bezpieczeństwo aplikacji to temat rzeka. Żeby być w tym dobrym to trzeba się temu poświecić i mieć dostęp do informacji, które nie są publicznie dostępne. Tak samo jak np. pisanie własnych funkcji kryptograficznych jest już całkowitym bezsensem i jest bezpieczne chyba tylko z punktu widzenia autora, tak i tutaj lepiej skorzystać ze sprawdzonych rozwiązań, które będą bezpieczniejsze niż nasze wypociny, choć nie wątpi, że jesteś dobrym programistą.

A co do przykładu omijającego strip_tags to masz notkę, w linku który podałem w poprzednim poscie - na stronie HTMLPurifier.

Nie... źle mnie zrozumiałeś... nie pisze własnych funkcji zabezpieczających w sensie regexów czy czegoś podobnego, pisze funkcje zabezpieczające korzystające z istniejących funkcji, np.

[PHP] pobierz, plaintext 
<?php
function safe_string($str)
{
$str = strip_tags($str);
$str = htmlspecialchars($str);
if(!get_magic_quotes_gpc())
{
$str = addslashes($str); // mysql_real_escape_string...
}
return $str;
}
?>
[PHP] pobierz, plaintext 

Wracając do tematu:

[PHP] pobierz, plaintext 
<?php
$liczba1 = mt_rand(1,9);
$liczba2 = mt_rand(1,9);
echo '<input type="hidden" name="liczba1" value="'.$liczba1.'" />';
echo '<input type="hidden" name="liczba2" value="'.$liczba2.'" />';
echo '<dt><label for="liczby">'.$liczba1.' + '.$liczba2.' =</label></dt>';
echo '<dd><input type="text" name="liczby" id="liczby" maxlength="2" /></dd>';
?>
[PHP] pobierz, plaintext 

Później sprawdzam, czy liczba1 + liczba2 = liczby i działa, tylko nawet boty to obliczają.

Każdy kto by chciał by ominął te imitację zabezpieczenia, to tak naprawde żadne zabezpieczenie (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Zmienić symbole na słowa, czy coś innego?

ja u siebie zrobiłem tak ( zadziałało w 100%):
1. zmieniłem adres tak, by nie występowało w nim słowo guestbook , a więc księga gości jest na www.serwer.cośtam/ksiega.php
(ten ruch, nie wiedzieć czemu, odrzucił mi prawie cały spam, ale nie pytajcie czemu, bo nie wiem... po prostu: działa (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) )

2. zablokowałem możliwość dodawania wpisów z adresu 127.0.0.1
Nie wiem czemu, ale spam bardzo często wchodził mi z tego adresu, nie wiem, czy to nie kwestia jakieś zabawki analogicznej do TORa (proxy) ?

3. Zadałem proste pytanie w stylu: co jest stolicą Polski, czy jakoś tak.

4. A na koniec użyłem zamiany słów viagra na wigor, czy środek-na-przeczyszczenie (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) , xxx na coś tam, że generalnie nazwy linków stały się zabawne, no a co najważniejsze, wcale nie odnosiły do owych stron (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

U mnie to wystarczyło, ale dodam na koniec (co pewnie jest całkiem istotne) strona jest rzadko odwiedzana (średnio 10-20wizyt dziennie).

Pozdr!