[HTML][MySQL][PHP]Zabezpieczenie strony w PHP z bazą MySQL bez formularzy itp. Opcje

[GrumpyDogue]

Witam. Od pewnego czasu nurtuje mnie pewna kwestia. Jak mogę zabezpieczyć swoją stronę? Szukałem wszędzie informacji na ten temat, niestety wszędzie gdzie napisane jest coś o bezpieczeństwie, przykłady dotyczą strony z panelami administracyjnymi, formularzami kontaktowymi itd. Otóż moja strona jest dosyć specyficzna - to zwykła strona informacyjna, która nie zawiera żadnych formularzy itp. Użytkownik praktycznie nigdzie nie podaje wartości żadnej zmiennej. Czytałem sporo poradników na temat bezpieczeństwa i wydaje mi się, że wszystko jest dobrze, jednak bardzo przyda mi się także opinia ekspertów w tej sprawie, gdyż zawsze mogło mi coś umknąć. Byłbym wdzięczny za sprawdzenie czy wszystko jest w porządku w tych linijkach kodu:

[PHP] pobierz, plaintext 
<?php
ob_start();
foreach($_GET as $k=>$v)
    $_GET[$k] = (preg_match("/[0-9a-z_]+/",$v) ? stripslashes(htmlspecialchars(strip_tags($v))): '');
 
error_reporting(0);
$dzial = $_GET['dzial'];
$strona = $_GET['strona'];
 
$connection = mysql_connect('localhost', 'root', '')
or die('Brak polaczenia z serwerem MySQL.');
$db = mysql_select_db('baza', $connection)
or die('Brak polaczenia z baza danych.');
 
mysql_query("SET NAMES utf8");
?>
[PHP] pobierz, plaintext 

Pliki includuję w ten sposób:

[PHP] pobierz, plaintext 
<?php include ("folder/plik.php"); ?>
[PHP] pobierz, plaintext 

W ten sposób wczytuję treść do "głównego" diva (na początku kiedy nie ma żadnych zmiennych w pasku adresu, wczytują się newsy):

[PHP] pobierz, plaintext 
<?php
if(!empty($dzial))
{
    if(is_file($dzial."/".$strona.".html"))
    {
        include ("include/naglowki.php");
        include($dzial."/".$strona.".html");
    }
    else echo "<p>Nie odnaleziono wybranej strony.</p>";
}
else include ("newsy/news.html");
?>
[PHP] pobierz, plaintext 

W pliku naglowki.php są zmienne, które wyglądają w ten sposób:

[PHP] pobierz, plaintext 
<?php
    $naglowek1 = "<div style=\"width: 100%; background-image: url(tlo-ramki.jpg);\"><img src=\"tytul.jpg\" alt=\"img\" style=\"width: X%; height: Xpx;\">";
?>
[PHP] pobierz, plaintext 

Nagłówek jest wyświetlany w PLIKU HTML (czy to jest błąd, że plik jest w html i posiada kod php? I tak jest includowany do index.php, więc ma to jakieś znaczenie?) na samym początku w ten sposób:

[PHP] pobierz, plaintext 
<?php echo $naglowek1; ?>
[PHP] pobierz, plaintext 

Tak wygląda odnośnik w menu*:

[HTML] pobierz, plaintext 
<a href="index.php?dzial=gry/gra1&amp;strona=info">Gra 1</a>
[HTML] pobierz, plaintext 

Tak wygląda moje zapytanie do bazy MySQL wyciągające newsy:

[PHP] pobierz, plaintext 
<?php
    $result = mysql_query("SELECT * FROM newsy LIMIT 3");
 
    if(mysql_num_rows($result) > 0)
    {
        while($r = mysql_fetch_assoc($result))
        {
            echo "<div class='news'>";
            echo "<div class='tytul'>";
            echo "".$r['data'].": <i style=\"color: gold;\">".$r['tytul']."</i>";
            echo "<div class='autor'>Dodał: ".$r['autor']."</div>";
            echo "</div>";
            echo $r['zawartosc'];
            echo "</div>";
        }
    }
?>
[PHP] pobierz, plaintext 

Zapytanie wyciągające z bazy np. linki do najnowszych filmów z kanału YT:

[PHP] pobierz, plaintext 
<?php
    $result = mysql_query("SELECT * FROM filmy ORDER BY ID DESC LIMIT 5")
    or die('Błąd zapytania');
 
    if(mysql_num_rows($result) > 0)
    {
        while($r = mysql_fetch_assoc($result))
        {
            echo "<li><a style=\"margin-top: 5px;\" class=\"menu\" target=\"_blank\" href=\"".$r['link']."\">".$r['tytul']."</a></li>";
        }
    }
?>
[PHP] pobierz, plaintext 

Tak wygląda zawartość kolumny 'zawartosc' w tabeli z newsami w bazie MySQL (czy kod HTML nie jest zagrożeniem kiedy jest pobierany z bazy?):

[HTML] pobierz, plaintext 
<img alt="img" src="sciezka/do/obrazka" style="width: x%; height: Xpx;">
<p>Tresc newsa</p>
[HTML] pobierz, plaintext 

To jest na końcu pliku index.php

[PHP] pobierz, plaintext 
<?php
    mysql_close($connection);
    ob_end_flush();
?>
[PHP] pobierz, plaintext 

* - odnośnik w menu - zastanawia mnie właśnie czy bezpiecznie jest kiedy w zmiennej znajdują się ukośniki: / (zmienna dział przyjmuje wartość z ukośnikiem: dzial=gry/gra1).

Czy zauważyliście w tym kodzie jakieś luki, które mogłyby umożliwić komuś atak? Będę wdzięczny za przeanalizowanie tych fragmentów kodu. Mam obsesję na tym punkcie, tj. chcę mieć pewność, że strona jest bezpieczna. Pozdrawiam!

[sadistic_son]

Użytkownik praktycznie nigdzie nie podaje wartości żadnej zmiennej

Błąd! Ma możliwość podania wartości zmiennej poprzez tablicę $_GET['']. Ale z tego co widzę, przynajmniej w tym kodzie co podałeś, to nie wiele można tym GET'em zdziałać. Wg. mnie nie masz co się obawiać, jest bezpiecznie, przynajmniej od strony PHP/MySQL. Co innego sprawa bezpieczeństwa serwera, ale jeśli gdzieś wynajmujesz serwer to nie masz na to żadnego wpływu.

[PHP] pobierz, plaintext 
$connection = mysql_connect('localhost', 'root', '')
[PHP] pobierz, plaintext 

Zakładam, że hasło ogólnie masz ustawione, tylko tutaj go nie podałeś. Bo jeśli dostęp do MySQL masz kolego bez hasła to prosisz się o pomstę do nieba.

Ten post edytował sadistic_son 25.02.2015, 10:56:20