zabezpieczenie związane z metodą GET, Jak sprawdzać dane trafiające do bazy danych przez metodę GET Opcje

[Jozjasz]

witam,

Myślę jak napisać skrypt, który będzie sprawdzał długość każdego stringu przesłanego za pomocą GET - Każdego, a nie pojedyńczego, gdzie trzebaby za każdym razem podawać nazwę zmiennej...

Prototyp(niestety nie działający), mógłby wyglądać mniej więcej tak... Proszę o wskazówkę jak sobie z tym poradzić.

[PHP] pobierz, plaintext 
<?php
 
if(isset($_GET)){
 
$dl = $_GET;
 
$ocena = strlen($dl);
if($ocena > 20){
#exit();}
}
 
?>
<a href="abhor.php?dana=dlugoscslowa">link</a>
[PHP] pobierz, plaintext 

PS
Myślę, że dobrym zabezpieczeniem jesli taka zmienna ma trafić do zapytania SQL jest dodatkowo sprawdzenie każdej wartości, czy odpowiada ona tej która znajduje się w bazie danych (oczywiście jeśli jest ich większa ilość, to potrzebne jest połączenie z bazą danych). Np.

[PHP] pobierz, plaintext 
if(isset($_GET['model'])){
$model = strip_tags($_GET['model']);
 
@require_once("polaczeniezbaza.php");
$q = "select nazwa from heroes where hero='latanie' ";
$r = @mysqli_query($connect, $q);
 
while($row = @mysqli_fetch_assoc($r)){
$naz = $row['nazwa'];
if($model == $naz){
$checkme = 1;}
}
if(!isset($checkme)){
header("location: $url_a");
exit();}
 
 
}
[PHP] pobierz, plaintext 

czy stosowanie takich zabezpieczeń ma sens? Proszę o komentarz.

[Niktoś]

A co to za zmienna $url_a?

[Jozjasz]

chciałem właśnie edytować żeby to dopisać, ale coś nie działa edytowanie. - Po prostu ta zmienna odsyła do strony głownej index.php

pozdro

Ten post edytował Jozjasz 6.11.2011, 18:08:16

[Niktoś]

Ależ to standardowe rozwiązanie ,a nie super zabezpieczenie.
Przed wysłanie parametrów zapisujesz je do bazy danych.Na drugiej stronie odbierasz parametry i sprawdzasz ich istnienie w bazie danych.Jeśli nie to odsyłasz na inną stronę.

[Jozjasz]

Dzięki, a jeśli chodzi o pierwszy sposób sprawdzania długości wszystkich danych przesyłanych przez metode GET - jest taka możliwość? Czy trzeba za każdym razem odwoływać się indywidualnie do każdej zmiennej i pisać, np. $_GET['nazwazm'] ?

[Sephirus]

Dzięki, a jeśli chodzi o pierwszy sposób sprawdzania długości wszystkich danych przesyłanych przez metode GET - jest taka możliwość? Czy trzeba za każdym razem odwoływać się indywidualnie do każdej zmiennej i pisać, np. $_GET['nazwazm'] ?

Nie problem - starczy prosta funkcja:

[PHP] pobierz, plaintext 
function getGetLengths()
{
	$minLength = 100000;
	$lengths = array();
	foreach($_GET AS $key => $value)
	{
		$lengths[$key] = strlen($value);
		if($minLength  > strlen($value)) $minLength  = strlen($value);
	}
 
	return array('minimal_length' => $minLength, 'get_lenghts' => $lengths);
}
 
print_r(getGetLengths());
[PHP] pobierz, plaintext 

Zwraca najkrótszą długość getów ogólnie i długości wszystkich getów

Przykład dla test.php?a=123456789&b=abc&c=xyz098

Zwraca:

Kod

Array
(
    [minimal_length] => 3
    [get_lenghts] => Array
        (
            [a] => 9
            [b] => 3
            [c] => 6
        )

)

[cudny]

Niestety nie zadziała to w przypadku tablic wielowymiarowych.
Należy w takim wypadku użyć rekurencji:

[PHP] pobierz, plaintext 
 
class Validation {
 
protected $_len = array();
function checkLen($get) {
foreach($get as $index => $value) {
if(is_array($value)) $this->checkLen($value);
$this->_len[] = strlen($value);
)
}
}
[PHP] pobierz, plaintext 

W polu $_len znajdują się wszystkie długości stringów.
Oczywiście możesz metodę dostosować do własnych i validować każdą ze zmiennych