[PHP]Globalne zabezpieczenie skryptu Opcje

[Amarel]

Wpadlem na pomysl, jak zabezpieczyc wszystkie dane otrzymywane od uzytkownika bez zabezpieczania ich za kazdym razem oddzielnie.

[PHP] pobierz, plaintext 
<?php
while ( list($key, $value) = each($_GET) ) {
    $_GET[$key] = mysql_real_escape_string(htmlspecialchars(strip_tags($value), ENT_QUOTES));
}
 
while ( list($key, $value) = each($_POST) ) {
    $_POST[$key] = mysql_real_escape_string(htmlspecialchars(strip_tags($value), ENT_QUOTES));
}
?>
[PHP] pobierz, plaintext 

Czy rozwiazanie, ktore zastosowalem jest dobre?

Ten post edytował Amarel 10.04.2009, 23:39:33

[erix]

Nie zawsze jest potrzeba zabezpieczania w ten sposób danych...

1. masz wartość liczbową - kombinujesz - masz przecież rzutowanie
2. o array_map" title="Zobacz w manualu PHP" target="_manual słyszałeś? (IMG:http://forum.php.pl/style_emoticons/default/snitch.gif)
3. ktoś na chama wrzuci N-set pól, a Twój skrypt korzysta tylko z kilku - po co zajeżdżać serwer ubezpieczaniem niepotrzebnych?

[Amarel]

[PHP] pobierz, plaintext 
<?php
if(count($_GET) > 4 OR count($_POST) > 16) {
    die('Zbyt duza liczba parametrow przekazanych do systemu. Hacking?');
}
?>
[PHP] pobierz, plaintext 

Zrobilem cos takiego na poczatku. Wiecej danych nie bede potrzebowal przekazywac w skrypcie, wiec jak ktos przekaze wiecej to skrypt wykona die().
Funkcja array_map to dobry pomysl. Dzieki (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Czy zastosowanie obok siebie funkcji mysql_real_escape_string, htmlspecialchars i strip_tags zabezpieczy mnie przed wszystkimi atakami?

Ten post edytował Amarel 11.04.2009, 09:21:33

[erix]

1. nie o to chodzi... lepiej rób escape'owanie tylu pól, ile trzeba; nieraz przeglądarka wyśle więcej pól (nie wiem, jak to się ma do MAX_FILE_SIZE) i wtedy kicha
2. wystarczy mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual, bez przesady. (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

[Amarel]

Funkcja mysql_real_escape_string nie zabezpieczy mnie chyba przed XSS, itp... Kod html/java/php dalej bedzie dalo sie wstawic - prawda?

[erix]

No tak, ale to naprawdę zależy od kontekstu...

Jak będziesz chciał użytkownikowi udostępnić XHTML, to będziesz na chama wszystko filtrował? Nie.

[Amarel]

Zgadzam sie z Toba w pelni (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Jednak pisze projekt, w ktorym nie musze udostepniac xhtml. Tak wiec, uzycie tych trzech funkcji do filtrowania wystarczy, aby zabezpieczyc sie przed wszystkimi atakami ( nie zamierzam przyjmowac od uzytkownikow zadnych plikow, a wiec tablicy z plikami nie zabezpieczalem )?

[erix]

Ale wiesz - dobre nawyki lepiej sobie wyrabiać od początku, tych złych potem jest ciężko się pozbyć.

[Amarel]

Rozumiem Ciebie w pelni, problem jednak polega na tym, ze projekt ten bedzie zawieral naprawde duzo plikow, ktore beda co raz dodawane przez rozne osoby i ciezko mi bedzie to opanowac i wykryc wszystkie bledy. Dlatego wlasnie musialem zastosowac takie rozwiazanie.

[erix]

Dlatego używa się bibliotek, które są do tego celu - frameworki.

Poza tym, masz jeszcze binding parameters, KISS. (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)