Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [HTML][MySQL][PHP]Zabezpieczenie strony w PHP z bazą MySQL bez formularzy itp.
GrumpyDogue
post
Post #1





Grupa: Zarejestrowani
Postów: 10
Pomógł: 0
Dołączył: 25.02.2015

Ostrzeżenie: (0%)
-----

Witam. Od pewnego czasu nurtuje mnie pewna kwestia. Jak mogę zabezpieczyć swoją stronę? Szukałem wszędzie informacji na ten temat, niestety wszędzie gdzie napisane jest coś o bezpieczeństwie, przykłady dotyczą strony z panelami administracyjnymi, formularzami kontaktowymi itd. Otóż moja strona jest dosyć specyficzna - to zwykła strona informacyjna, która nie zawiera żadnych formularzy itp. Użytkownik praktycznie nigdzie nie podaje wartości żadnej zmiennej. Czytałem sporo poradników na temat bezpieczeństwa i wydaje mi się, że wszystko jest dobrze, jednak bardzo przyda mi się także opinia ekspertów w tej sprawie, gdyż zawsze mogło mi coś umknąć. Byłbym wdzięczny za sprawdzenie czy wszystko jest w porządku w tych linijkach kodu:

[PHP] pobierz, plaintext 
  1. <?php
  2. ob_start();
  3. foreach($_GET as $k=>$v)
  4.     $_GET[$k] = (preg_match("/[0-9a-z_]+/",$v) ? stripslashes(htmlspecialchars(strip_tags($v))): '');
  5.  
  6. error_reporting(0);
  7. $dzial = $_GET['dzial'];
  8. $strona = $_GET['strona'];
  9.  
  10. $connection = mysql_connect('localhost', 'root', '')
  11. or die('Brak polaczenia z serwerem MySQL.');
  12. $db = mysql_select_db('baza', $connection)
  13. or die('Brak polaczenia z baza danych.');
  14.  
  15. mysql_query("SET NAMES utf8");
  16. ?>
[PHP] pobierz, plaintext


Pliki includuję w ten sposób:
[PHP] pobierz, plaintext 
  1. <?php include ("folder/plik.php"); ?>
[PHP] pobierz, plaintext


W ten sposób wczytuję treść do "głównego" diva (na początku kiedy nie ma żadnych zmiennych w pasku adresu, wczytują się newsy):
[PHP] pobierz, plaintext 
  1. <?php
  2. if(!empty($dzial))
  3. {
  4.     if(is_file($dzial."/".$strona.".html"))
  5.     {
  6.         include ("include/naglowki.php");
  7.         include($dzial."/".$strona.".html");
  8.     }
  9.     else echo "<p>Nie odnaleziono wybranej strony.</p>";
  10. }
  11. else include ("newsy/news.html");
  12. ?>
[PHP] pobierz, plaintext


W pliku naglowki.php są zmienne, które wyglądają w ten sposób:
[PHP] pobierz, plaintext 
  1. <?php
  2.     $naglowek1 = "<div style=\"width: 100%; background-image: url(tlo-ramki.jpg);\"><img src=\"tytul.jpg\" alt=\"img\" style=\"width: X%; height: Xpx;\">";
  3. ?>
[PHP] pobierz, plaintext


Nagłówek jest wyświetlany w PLIKU HTML (czy to jest błąd, że plik jest w html i posiada kod php? I tak jest includowany do index.php, więc ma to jakieś znaczenie?) na samym początku w ten sposób:
[PHP] pobierz, plaintext 
  1. <?php echo $naglowek1; ?>
[PHP] pobierz, plaintext


Tak wygląda odnośnik w menu*:
[HTML] pobierz, plaintext 
  1. <a href="index.php?dzial=gry/gra1&amp;strona=info">Gra 1</a>
[HTML] pobierz, plaintext


Tak wygląda moje zapytanie do bazy MySQL wyciągające newsy:
[PHP] pobierz, plaintext 
  1. <?php
  2.     $result = mysql_query("SELECT * FROM newsy LIMIT 3");
  3.  
  4.     if(mysql_num_rows($result) > 0)
  5.     {
  6.         while($r = mysql_fetch_assoc($result))
  7.         {
  8.             echo "<div class='news'>";
  9.             echo "<div class='tytul'>";
  10.             echo "".$r['data'].": <i style=\"color: gold;\">".$r['tytul']."</i>";
  11.             echo "<div class='autor'>Dodał: ".$r['autor']."</div>";
  12.             echo "</div>";
  13.             echo $r['zawartosc'];
  14.             echo "</div>";
  15.         }
  16.     }
  17. ?>
[PHP] pobierz, plaintext


Zapytanie wyciągające z bazy np. linki do najnowszych filmów z kanału YT:
[PHP] pobierz, plaintext 
  1. <?php
  2.     $result = mysql_query("SELECT * FROM filmy ORDER BY ID DESC LIMIT 5")
  3.     or die('Błąd zapytania');
  4.  
  5.     if(mysql_num_rows($result) > 0)
  6.     {
  7.         while($r = mysql_fetch_assoc($result))
  8.         {
  9.             echo "<li><a style=\"margin-top: 5px;\" class=\"menu\" target=\"_blank\" href=\"".$r['link']."\">".$r['tytul']."</a></li>";
  10.         }
  11.     }
  12. ?>
[PHP] pobierz, plaintext


Tak wygląda zawartość kolumny 'zawartosc' w tabeli z newsami w bazie MySQL (czy kod HTML nie jest zagrożeniem kiedy jest pobierany z bazy?):
[HTML] pobierz, plaintext 
  1. <img alt="img" src="sciezka/do/obrazka" style="width: x%; height: Xpx;">
  2. <p>Tresc newsa</p>
[HTML] pobierz, plaintext


To jest na końcu pliku index.php
[PHP] pobierz, plaintext 
  1. <?php
  2.     mysql_close($connection);
  3.     ob_end_flush();
  4. ?>
[PHP] pobierz, plaintext


* - odnośnik w menu - zastanawia mnie właśnie czy bezpiecznie jest kiedy w zmiennej znajdują się ukośniki: / (zmienna dział przyjmuje wartość z ukośnikiem: dzial=gry/gra1).

Czy zauważyliście w tym kodzie jakieś luki, które mogłyby umożliwić komuś atak? Będę wdzięczny za przeanalizowanie tych fragmentów kodu. Mam obsesję na tym punkcie, tj. chcę mieć pewność, że strona jest bezpieczna. Pozdrawiam!
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Damonsson
post
Post #2





Grupa: Zarejestrowani
Postów: 2 355
Pomógł: 533
Dołączył: 15.01.2010
Skąd: Bydgoszcz

Ostrzeżenie: (0%)
-----

Czekaj czekaj, mała poprawka, nie zostawiasz tam przecież tylko bezpiecznych znaków w linijce:
[PHP] pobierz, plaintext 
  1.    $_GET[$k] = (preg_match("/[0-9a-z_]+/",$v) ? stripslashes(htmlspecialchars(strip_tags($v))): '');
[PHP] pobierz, plaintext

Bo:
$_GET['dzial']= '.passwd %00';
po tej linijce nadal zwróci:
$_GET['dzial']= '.passwd %00';

Prawda?

Jeżeli tak, to masz podatność na LFI.
Go to the top of the page
+Quote Post
sadistic_son
post
Post #3





Grupa: Zarejestrowani
Postów: 1 495
Pomógł: 245
Dołączył: 1.07.2009
Skąd: Bydgoszcz

Ostrzeżenie: (0%)
-----

Cytat(Damonsson @ 25.02.2015, 13:25:04 ) *
Czekaj czekaj, mała poprawka, nie zostawiasz tam przecież tylko bezpiecznych znaków w linijce:
[PHP] pobierz, plaintext 
  1.    $_GET[$k] = (preg_match("/[0-9a-z_]+/",$v) ? stripslashes(htmlspecialchars(strip_tags($v))): '');
[PHP] pobierz, plaintext

Bo:
$_GET['dzial']= '.passwd %00';
po tej linijce nadal zwróci:
$_GET['dzial']= '.passwd %00';

Prawda?

Jeżeli tak, to masz podatność na LFI.

A no racja. Ale wystarczy wrzucić do np. SWITCH() wybór działu, bo zakładam, że te są predefiniowane, i masz LFI z głowy.
Np podmień linijki 7 i 8 z pierwszego okna kodu na:
[PHP] pobierz, plaintext 
  1. switch($_GET['dzial']){
  2. case:
  3. $_GET['dzial']="strzelanki";
  4. $dzial = $_GET['dzial'];
  5. break;
  6. case:
  7. $_GET['dzial']="strategie";
  8. $dzial = $_GET['dzial'];
  9. break;
  10. $_GET['dzial']="aRPG";
  11. $dzial = $_GET['dzial'];
  12. break;
  13. default:
  14. $dzial = "strzelanki";
  15. break;
  16. }
  17.  
  18. switch($_GET['strona']){
  19. case:
  20. $_GET['strona']="o strzelankach";
  21. $strona = $_GET['strona'];
  22. break;
  23. case:
  24. $_GET['strona']="o strategiach";
  25. $strona = $_GET['strona'];
  26. break;
  27. $_GET['strona']="o aRPG";
  28. $strona = $_GET['strona'];
  29. break;
  30. default:
  31. $strona = "o strzelankach";
  32. break;
  33. }
[PHP] pobierz, plaintext


EDIT: edytowałem post i poprawiłem drobny błąd.

Ten post edytował sadistic_son 25.02.2015, 13:58:50
Go to the top of the page
+Quote Post

Posty w temacie
- GrumpyDogue   [HTML][MySQL][PHP]Zabezpieczenie strony w PHP z bazą MySQL bez formularzy itp.   25.02.2015, 10:43:26
- - sadistic_son   Cytat(GrumpyDogue @ 25.02.2015, 10:43...   25.02.2015, 10:50:57
|- - GrumpyDogue   Cytat(sadistic_son @ 25.02.2015, 10:50...   25.02.2015, 11:46:33
- - Aqu   [PHP] pobierz, plaintext $dzial."/".$str...   25.02.2015, 12:03:16
|- - GrumpyDogue   Cytat(Aqu @ 25.02.2015, 12:03:16 ) [P...   25.02.2015, 12:21:45
- - Aqu   Czyli masz w kodzie: [PHP] pobierz, plaintext $dzi...   25.02.2015, 12:26:32
|- - GrumpyDogue   Cytat(Aqu @ 25.02.2015, 12:26:32 ) Cz...   25.02.2015, 12:37:58
- - Damonsson   GETa przepuszcza przez preg_match i usuwa co niebe...   25.02.2015, 13:07:40
|- - GrumpyDogue   Cytat(Damonsson @ 25.02.2015, 13:07:4...   25.02.2015, 13:14:43
- - Damonsson   Czekaj czekaj, mała poprawka, nie zostawiasz tam p...   25.02.2015, 13:25:04
|- - redeemer   Cytat(Damonsson @ 25.02.2015, 13:25:0...   25.02.2015, 13:40:10
|- - sadistic_son   Cytat(Damonsson @ 25.02.2015, 13:25:0...   25.02.2015, 13:46:48
- - GrumpyDogue   Dzięki! A dałoby się to jakoś krócej rozwiązać...   25.02.2015, 14:07:13
- - Aqu   Możesz po prostu sprawdzać za pomocą preg_match, c...   25.02.2015, 14:22:41
- - GrumpyDogue   Mógłbyś mi pokazać w jaki to sposób będzie wygląda...   25.02.2015, 14:27:07
- - sadistic_son   Cytat(GrumpyDogue @ 25.02.2015, 14:07...   25.02.2015, 14:49:43
- - GrumpyDogue   Dzięki! Więc tak zrobię z tym Switchem. I to p...   25.02.2015, 15:10:23
- - sadistic_son   Cytat(GrumpyDogue @ 25.02.2015, 15:10...   25.02.2015, 15:16:00
- - Aqu   CytatTo i tak nie zabezpieczy. Wystarczy, że ktoś ...   25.02.2015, 15:27:57
|- - sadistic_son   Cytat(Aqu @ 25.02.2015, 15:27:57 ) Ja...   25.02.2015, 15:33:07
- - Aqu   No dobra, ktoś może dorzucać mu pliki na serwer, w...   25.02.2015, 15:35:53
- - DraGo110   Polecam Bibliotekę PDO. zawiera ona m.i.n bindowan...   25.02.2015, 15:38:27
- - GrumpyDogue   Spoko, w wolnym czasie rzucę okiem na tę bibliotek...   25.02.2015, 19:04:06
- - DraGo110   oba rozwiązania są dobre gdyby nie to że w Case ni...   26.02.2015, 12:02:42
- - GrumpyDogue   Hmm no właśnie ten case nie do końca się spisuje. ...   26.02.2015, 12:31:19
- - sadistic_son   Nie wiem czy dobrze zrozumiałem jaki masz problem ...   4.03.2015, 11:02:13
- - Pyton_000   Jak widze taką sraj taśmę to aż mi się .... Proszę...   4.03.2015, 11:20:06
- - sadistic_son   Nie do końca, bo jeśli postac3 jest w gra1 i gra2 ...   4.03.2015, 11:26:28

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 11.10.2025 - 12:40
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn