Całościowe filtrowanie danych Opcje

[Kildyt]

Cześć! (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Piszę aktualnie nowe jądro i chcę przy użyciu jeden funkcji przefiltrować dane pod wieloma względami (html, mysql itp.).

Poczytałem trochę na w internecie o filtrowaniu danych, nawet znalazłem bardzo prosty i zrozumiały wykres: link w .pdf.

Napisałem funkcję filter i wygląda ona tak:

[PHP] pobierz, plaintext 
<?php
function filter($give, $type) {
    if (!$type OR is_string($type)) {
        $error = new error;
        
        $error -> show('Nie podałeś typu zmiennej podczas filtrowania danych! 1 - string (tekst), 2 - int (liczba całkowita)', '1');
    }
    
    if ($type == "2") {
        $type = "is_int";
    }
    
    if ($type == "1") {
        $type = "is_string";
    }
    
    $give = stripslashes(escapeshellcmd(strip_tags(htmlspecialchars(mysql_real_escape_string(urlencode($give))))));
    
    if ($type($give)) {
        return $give;
    } else {
        $error = new error;
        
        $error -> show('Zawartość zmiennej różni się od jej typu! 1 - string (tekst), 2 - int (liczba całkowita)', '1');
    }
}
?>
[PHP] pobierz, plaintext 

Przykładowe zastosowanie funkcji to:

[PHP] pobierz, plaintext 
<?php
$title = filter($_GET['title'], 1);
$id = filter($_GET['id'], 2);
?>
[PHP] pobierz, plaintext 

Spis zastosowanych funkcji do przefiltrowania zmiennej (w kolejności zastosowania): stripslashes, escapeshellcmd, strip_tags, htmlspecialchars, mysql_real_escape_string, urlencode.

Jak myślicie, czy ten skrypt jest poprawny? Zmienić szereg wykonywanych funkcji, może jakąś dodać, lub usunąć?

Ten post edytował Kildyt 4.10.2008, 15:34:51

[zimi]

nie jestem sobie w stanie wyobrazić powodu dla którego potrzebowałbym zastosować taką funkcję...
każda funkcja którą użyłeś w łańcuchu jest przeznaczona do innego celu chyba że masz zamiar
pobrany z adresu ciąg wrzucić do bazy danych przetwarzając niebezpieczne znaki (względem XSS) na encje usuwając tagi (których nie będzie na skutek działania poprzedniej funkcji) uruchomić polecenie z konsoli wyrzucając przy okazji escape'owanie które dodałeś...

w skrócie ta funkcja nie ma sensu... no chyba że czegoś nie wiem... co ostatnio często się zdarza...

każdą z funkcji z łańcucha używasz w innym celu... jedną(z reguły) gdy chcesz usunąć znaki ucieczki dodane automatycznie przy odpowiednich ustawieniach PHP, drugą gdy chcesz coś odpalić z konsoli, dwie kolejne przeciw atakom XSS, piątą przeciw atakom na bazę danych, a szóstą aby adresy url były odpowiednio zakodowane

to że je sobie wszystkie połączysz nie znaczy że Twoja aplikacja będzie bezpieczna..., znaczy tylko że nie wiesz co napisałeś...

[Kildyt]

Chciałem napisać jedną funkcję dzięki, której będę filtrował dane pochodzące od użytkownika. Np. formularz rejestracji, wyszukiwanie itp. itd.

Nie mogę Cię trochę zrozumieć. Przecież dane pochodzące od użytkownika trzeba przefiltrować, a to, że dodałem wszystko do jednej funkcji to dla mnie oszczędzanie czasu, a w razie problemów zmienię tylko funkcję, a nie cały kod.
Niestety, ale kilka miesięcy temu miałem problem z atakiem XSS. Całe szczęście, że został dodany tylko kod javascript do kodu strony, ale i tak musiałem przefiltrować bazę danych. Od tego czasu wolę się ubezpieczyć i filtrować dane pod każdym względem.

[zimi]

może opisowo
w skrócie... nie ubezpieczasz domu od "kradzieży samochodu", ani samochodu "od katastrof budowlanych"

każda z funkcji którą użyłeś w łańcuchu swoich funkcji służy do innych operacji co już napisałem
jak chcesz wykorzystać dane w zapytaniach do bazy to bierzesz mysql_real_escape_string (i z reguły tylko tą!)
a jak chcesz użyć z polecenia exec, system etc. to używasz escapeshellcmd (i z reguły tylko tą!)
choć jestem sobie w stanie wyobrazić jak tego mógłbym użyć razem to nie ma to większego sensu

"ubezpieczasz" dane w swoim skrypcie od tego od czego są narażone..., a nie od wszystkiego niezależnie czym są i jak używasz...

Jeśli nadal nie rozumiesz to przeczytaj dokumentacje wszystkich funkcji które użyłeś... potem jeszcze raz moje odpowiedzi
a potem ew. przetestuj działanie kodu:

[PHP] pobierz, plaintext 
<?php
$zmienna = 'asdf"asdf';
echo $zmienna = mysql_escape_string($zmienna);
echo $zmienna = striplslashes($zmienna);
?>
[PHP] pobierz, plaintext 

i wyciągnij wnioski

Ten post edytował zimi 5.10.2008, 13:32:31

[szagi3891]

Ja bym proponował inną funkcję. Przy założeniu że dane zapisane są w kodowaniu utf-8 i jeśli się trzymamy tego kodowania to warto było by sprawdzić czy tekst jest poprawnie zakodowany. Jakiś robot mógłby dodać syf do bazy bądź w czymś tam.

Funkcja którą proponuje sprawdza wpierw sekwencję utf-8 a w przypadku błędnej sekwencji podmienia ją na znak '?'
Entecje zamieniane są na znaki w odpowiednim kodowaniu natomiast tylko kilka znaków zawsze jest pozostawianych w postaci entecji. Oczywiści chodzi o znaki które pozostawione same sobie chciały by wejść w interakcję z naszym kodem.

[PHP] pobierz, plaintext 
<?php
function clear_text($dane) {
    $UTF8_BAD =
    '([x00-x7F]'.                          # ASCII (including control chars)
    '|[xC2-(IMG:http://forum.php.pl/style_emoticons/default/haha.gif) F][x80-xBF]'.               # non-overlong 2-byte
    '|xE0[xA0-xBF][x80-xBF]'.           # excluding overlongs
    '|[xE1-xECxEExEF][x80-xBF]{2}'.    # straight 3-byte
    '|xED[x80-x9F][x80-xBF]'.           # excluding surrogates
    '|xF0[x90-xBF][x80-xBF]{2}'.        # planes 1-3
    '|[xF1-xF3][x80-xBF]{3}'.            # planes 4-15
    '|xF4[x80-x8F][x80-xBF]{2}'.        # plane 16
    '|(.{1}))';                              # invalid byte
    
    $temp = '';
    
    while (preg_match('/'.$UTF8_BAD.'/S', $dane, $matches))
        {
        if (!isset($matches[2]))
            $temp .= $matches[0];
        else
            $temp .= '?';                                                        //zastępienie błednych sekwencji znakiem '?'
            
        $dane = substr($dane,strlen($matches[0]));
        }
        
    $dane = $temp;
    
    
    $dane = preg_replace('#[x00-x08x0bx0cx0e-x1f]#si', '', $dane);        //usunięcie znaków niewidocznych oprócz entera i tabulacji
    $dane = preg_replace("#r\n?#", "\n", $dane);                                //znormalizowanie znaków nowej linii
    
    $dane = html_entity_decode($dane, ENT_QUOTES, "utf-8" );                     //usunięcie zbędnych entecji
 
    $dane = str_replace("&", "&amp;"   , $dane);                                //zabezpieczenie znaków niebezpiecznych
    $dane = str_replace("<", "&lt;"    , $dane);
    $dane = str_replace(">", "&gt;"    , $dane);
    $dane = str_replace("'", "&apos;"  , $dane);
    $dane = str_replace("`", "&acute;" , $dane);
    $dane = str_replace('"', "&quot;"  , $dane);
    return $dane;
    }
?>
[PHP] pobierz, plaintext 

tam gdzie jest --- (IMG:http://forum.php.pl/style_emoticons/default/haha.gif) --- powinny być dwa znaki : x D

Ten post edytował szagi3891 7.10.2008, 08:56:17