Nietypowa walidacja, problem z bezpieczenstwem Opcje

[lukaskolista]

Witam. Musze do bazy danych zapisac teksty uzytkownikow z tinymce editora. Musze to jednak zrobic w czystej postaci: nie moge przepuscic tekstu przez htmlspecialchars)= i zapisac do bazy, a nastepnie przy wyswietlaniu uzyc htmlspecialchars_decode(). Musze zapisac je ze znakami specjalnymi. W tym wlasnie problem. W takim przypadku edytor tekstowy staje sie okienkiem do wpisywania polecen dla hakerow. Macie moze pomysl, jak rozwiazac ten problem? Z gory dziekuje za pomoc:)

[piotr94]

dlaczego nie możesz przepuścić przez te funkcje i przy wyświetlaniu dekodować?
a addslashes i stripslashes (IMG:style_emoticons/default/questionmark.gif)
i zmień tytuł tematu, bo to z tego co wiem nie jest validacja pola formularza (IMG:style_emoticons/default/biggrin.gif) tylko ochrona przed SQL injection

Ten post edytował piotr94 22.07.2010, 09:16:07

[lukaskolista]

jakbym mogl to bym nie pisal tematu (IMG:style_emoticons/default/tongue.gif) W bazie musza byc znaki specjalne, to nie jest wyswietlane u mnie. Takie sa wymagania i nic nie moge na to poradzic.

[piotr94]

a filtrowanie słów "kluczowych" dla zapytań SQL typu OR, AND itp. i odpowiednia zamiana ich na kody &xxx; (IMG:style_emoticons/default/questionmark.gif)
powinno zatrzymać hakerów, bo do bazy nie pójdzie wtedy na pewno nic co by mogło zmienić zapytanie
moim zdaniem i tak to ewidentny błąd osoby u której to się będzie wyświetlać, ale skoro masz takie obligacje to postaram się jakoś pomóc

Ten post edytował piotr94 22.07.2010, 09:25:35

[lukaskolista]

Doklanie to co jest w bazie jest przetwarzane przez inny skrypt. Skrypt dziala lokalnie i dostep do niego maja tylko upowaznione osoby, wiec nie potrzebowali tak tego zabezpieczac. Nie ja projektowalem tamta aplikacje (IMG:style_emoticons/default/biggrin.gif) jest jakas funkcja filtrujaca frazy sql i php ?

[piotr94]

fraz php nie musisz filtorwać, chyba, że gdzieś jest eval(); (IMG:style_emoticons/default/biggrin.gif)
co do fraz SQL to bym to załatwił tak:

[PHP] pobierz, plaintext 
 $tekst_z_tinymce=preg_replace(array('/ OR /','/ Or /','/ oR /','/ or /'),array( ' OR ',' Or ',' oR ',' or '),$tekst_z_tinymce);
[PHP] pobierz, plaintext 

i podobnie AND,... nie musisz filtrować wszystkich słów kluczowych SQL - przeanalizuj które w Twoim zapytaniu moga stwarzać niebezpieczeństwo i filtruj tylko je
//EDIT w drugim array(); powinny być znaczniki &# xxx ;, ale nie wiem czemu forum zamienia te znaczki na litery

Ten post edytował piotr94 22.07.2010, 09:40:41

[lukaskolista]

dzieki:) sprobuje

Tak sie zastanawiam, czy nie ma innej mozliwosci. Ta jest dosc problematyczna i malo wydajna. Moze ktos zna inny sposob?

[Fifi209]

fraz php nie musisz filtorwać, chyba, że gdzieś jest eval(); (IMG:style_emoticons/default/biggrin.gif)
co do fraz SQL to bym to załatwił tak:

[PHP] pobierz, plaintext 
 $tekst_z_tinymce=preg_replace(array('/ OR /','/ Or /','/ oR /','/ or /'),array( ' OR ',' Or ',' oR ',' or '),$tekst_z_tinymce);
[PHP] pobierz, plaintext 

i podobnie AND,... nie musisz filtrować wszystkich słów kluczowych SQL - przeanalizuj które w Twoim zapytaniu moga stwarzać niebezpieczeństwo i filtruj tylko je
//EDIT w drugim array(); powinny być znaczniki &# xxx ;, ale nie wiem czemu forum zamienia te znaczki na litery

Takie zabezpieczenie nie jest najlepsze, o ile pamiętam wystarczy zabawa z komentarzami.

Co do zabezpieczeń polecam videoarty Unknow'a.

Ten post edytował fifi209 27.07.2010, 10:06:46

[Pilsener]

Nie chcę być złośliwy, ale wystarczy zastąpić or || a and &&. A prawdziwe pole do popisu daje tu JS, ja bym sobie darował zabezpieczanie tego bo ilość fraz, które mogą spowodować szkodę jest nieograniczona a w dodatku zaraz ktoś się przyczepi, że wpisując np. "Comercial union" wycina mu union (IMG:style_emoticons/default/guitar.gif)

Robisz tak, jak klient chce, ostrzegasz go i się nie martwisz o nic, jak klient straci wystarczająca ilość czasu i kasy to w końcu zrozumie, że jego koncepcja była zła. Inaczej trudno co niektórych przekonać.

[fander]

Nie wiem dlaczego podchodzicie do tego w taki sposób że chłopak sam ma tworzyć zapytania, nie lepiej zaproponować koledze przejście na programowanie obiektowe, na początek klasy modeli w połączeniu z prostym PDO. PDO posiada lepsze "zabezpieczenia" przed sql injection niż ty sam jesteś w stanie wymyślić.
Rozwiąż to w ten sposób że tworzysz sobie klasę odpowiadającej tabelce w bazie z odopowiednimi metodami i atrybutami czyli:

[PHP] pobierz, plaintext 
class mojaTableka{
 /**
 $var PDO
 */
 public static $_connection;
 public static $_insertSql = 'INSERT INTO mojaTabela (kolumna1,kolumna2,...) VALUES (:kolumna1,:kolumna2,...)';
 .
 .
 .
 public $kolumna1;
 public $kolumna2;
 public $kolumna2;
 .
 .
 .
 
public static parms = array(
    'kolumna1' => PDO::PARAM_STR,
     .
     .
     .
);
 
 public function __set($key,$val){
    if(isset($this->$key)){
      $this->$key = $value;
    }
 }
 
 public function __get($key){
     if(isset($this->$key)){
       return $this->$key;
     } 
 }
 
 public static function insert(mojaTableka $obiekt){
    try{
           $prep = self::$_connection->prepare(self::$_insertSql);
            foreatch(self::$params as $key => $val){
                 $prep->bondParam(':'.$key,$obiekt->$key,$val);
            }
            return $prep->execute();
         }catch(Exception $e){
             return false;
         }
 }
 
 public static function update(mojaTabelka $obiekt){
 
 }
 
 public static function dell(mojaTableka $obiekt){
 
 }
 
 public static function get($where){
 
 }
 
 public function save(){
  if($this->IDENTYFIKATOR !== NULL){
     mojaTablela::update($this);
  }
  else{
     mojaTablela::insert($this);
  }
 }
 
 
}
[PHP] pobierz, plaintext 

Pisane z ręki mogą być błędy, ale zamysł jest prawidłowy. Jeśli wybierzesz moje rozwiązanie na pewno postaram się pomóc.

Ten post edytował fander 28.07.2010, 09:08:07

[cojack]

addslashes ma błąd i jest sposób na to by go obejść, dlatego się go nie stosuje.

Nic się nie przejmuj jakie dane są ładowane przez tinymce, wyłącz w nim obsługę js i on się sam ogarnie że nie może być w nim kodu js. A dane ładuj do db poprzez mysql_escape_string i tyle Cie interesuje. Albo PDO jak kolega wyżej napisał.

[piotr94]

bardzo ciekawe te poradniki Nieznanego (IMG:style_emoticons/default/biggrin.gif)
dzięki za linka

[MacDada]

Poczytaj do bindValue() w PDO:
http://pl.wikibooks.org/wiki/PHP/Biblioteka_PDO#Podpinanie

W ten sposób nie musisz się martwić, że ktoś Ci zrobi SQL-Injection, choć oczywiście inne ataki typu XSS są możliwe.