Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [HTML][MySQL][PHP]Zabezpieczenie strony w PHP z bazą MySQL bez formularzy itp.
GrumpyDogue
post
Post #1





Grupa: Zarejestrowani
Postów: 10
Pomógł: 0
Dołączył: 25.02.2015

Ostrzeżenie: (0%)
-----

Witam. Od pewnego czasu nurtuje mnie pewna kwestia. Jak mogę zabezpieczyć swoją stronę? Szukałem wszędzie informacji na ten temat, niestety wszędzie gdzie napisane jest coś o bezpieczeństwie, przykłady dotyczą strony z panelami administracyjnymi, formularzami kontaktowymi itd. Otóż moja strona jest dosyć specyficzna - to zwykła strona informacyjna, która nie zawiera żadnych formularzy itp. Użytkownik praktycznie nigdzie nie podaje wartości żadnej zmiennej. Czytałem sporo poradników na temat bezpieczeństwa i wydaje mi się, że wszystko jest dobrze, jednak bardzo przyda mi się także opinia ekspertów w tej sprawie, gdyż zawsze mogło mi coś umknąć. Byłbym wdzięczny za sprawdzenie czy wszystko jest w porządku w tych linijkach kodu:

[PHP] pobierz, plaintext 
  1. <?php
  2. ob_start();
  3. foreach($_GET as $k=>$v)
  4.     $_GET[$k] = (preg_match("/[0-9a-z_]+/",$v) ? stripslashes(htmlspecialchars(strip_tags($v))): '');
  5.  
  6. error_reporting(0);
  7. $dzial = $_GET['dzial'];
  8. $strona = $_GET['strona'];
  9.  
  10. $connection = mysql_connect('localhost', 'root', '')
  11. or die('Brak polaczenia z serwerem MySQL.');
  12. $db = mysql_select_db('baza', $connection)
  13. or die('Brak polaczenia z baza danych.');
  14.  
  15. mysql_query("SET NAMES utf8");
  16. ?>
[PHP] pobierz, plaintext


Pliki includuję w ten sposób:
[PHP] pobierz, plaintext 
  1. <?php include ("folder/plik.php"); ?>
[PHP] pobierz, plaintext


W ten sposób wczytuję treść do "głównego" diva (na początku kiedy nie ma żadnych zmiennych w pasku adresu, wczytują się newsy):
[PHP] pobierz, plaintext 
  1. <?php
  2. if(!empty($dzial))
  3. {
  4.     if(is_file($dzial."/".$strona.".html"))
  5.     {
  6.         include ("include/naglowki.php");
  7.         include($dzial."/".$strona.".html");
  8.     }
  9.     else echo "<p>Nie odnaleziono wybranej strony.</p>";
  10. }
  11. else include ("newsy/news.html");
  12. ?>
[PHP] pobierz, plaintext


W pliku naglowki.php są zmienne, które wyglądają w ten sposób:
[PHP] pobierz, plaintext 
  1. <?php
  2.     $naglowek1 = "<div style=\"width: 100%; background-image: url(tlo-ramki.jpg);\"><img src=\"tytul.jpg\" alt=\"img\" style=\"width: X%; height: Xpx;\">";
  3. ?>
[PHP] pobierz, plaintext


Nagłówek jest wyświetlany w PLIKU HTML (czy to jest błąd, że plik jest w html i posiada kod php? I tak jest includowany do index.php, więc ma to jakieś znaczenie?) na samym początku w ten sposób:
[PHP] pobierz, plaintext 
  1. <?php echo $naglowek1; ?>
[PHP] pobierz, plaintext


Tak wygląda odnośnik w menu*:
[HTML] pobierz, plaintext 
  1. <a href="index.php?dzial=gry/gra1&amp;strona=info">Gra 1</a>
[HTML] pobierz, plaintext


Tak wygląda moje zapytanie do bazy MySQL wyciągające newsy:
[PHP] pobierz, plaintext 
  1. <?php
  2.     $result = mysql_query("SELECT * FROM newsy LIMIT 3");
  3.  
  4.     if(mysql_num_rows($result) > 0)
  5.     {
  6.         while($r = mysql_fetch_assoc($result))
  7.         {
  8.             echo "<div class='news'>";
  9.             echo "<div class='tytul'>";
  10.             echo "".$r['data'].": <i style=\"color: gold;\">".$r['tytul']."</i>";
  11.             echo "<div class='autor'>Dodał: ".$r['autor']."</div>";
  12.             echo "</div>";
  13.             echo $r['zawartosc'];
  14.             echo "</div>";
  15.         }
  16.     }
  17. ?>
[PHP] pobierz, plaintext


Zapytanie wyciągające z bazy np. linki do najnowszych filmów z kanału YT:
[PHP] pobierz, plaintext 
  1. <?php
  2.     $result = mysql_query("SELECT * FROM filmy ORDER BY ID DESC LIMIT 5")
  3.     or die('Błąd zapytania');
  4.  
  5.     if(mysql_num_rows($result) > 0)
  6.     {
  7.         while($r = mysql_fetch_assoc($result))
  8.         {
  9.             echo "<li><a style=\"margin-top: 5px;\" class=\"menu\" target=\"_blank\" href=\"".$r['link']."\">".$r['tytul']."</a></li>";
  10.         }
  11.     }
  12. ?>
[PHP] pobierz, plaintext


Tak wygląda zawartość kolumny 'zawartosc' w tabeli z newsami w bazie MySQL (czy kod HTML nie jest zagrożeniem kiedy jest pobierany z bazy?):
[HTML] pobierz, plaintext 
  1. <img alt="img" src="sciezka/do/obrazka" style="width: x%; height: Xpx;">
  2. <p>Tresc newsa</p>
[HTML] pobierz, plaintext


To jest na końcu pliku index.php
[PHP] pobierz, plaintext 
  1. <?php
  2.     mysql_close($connection);
  3.     ob_end_flush();
  4. ?>
[PHP] pobierz, plaintext


* - odnośnik w menu - zastanawia mnie właśnie czy bezpiecznie jest kiedy w zmiennej znajdują się ukośniki: / (zmienna dział przyjmuje wartość z ukośnikiem: dzial=gry/gra1).

Czy zauważyliście w tym kodzie jakieś luki, które mogłyby umożliwić komuś atak? Będę wdzięczny za przeanalizowanie tych fragmentów kodu. Mam obsesję na tym punkcie, tj. chcę mieć pewność, że strona jest bezpieczna. Pozdrawiam!
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
sadistic_son
post
Post #2





Grupa: Zarejestrowani
Postów: 1 495
Pomógł: 245
Dołączył: 1.07.2009
Skąd: Bydgoszcz

Ostrzeżenie: (0%)
-----

Cytat(GrumpyDogue @ 25.02.2015, 14:07:13 ) *
A dałoby się to jakoś krócej rozwiązać? Bo sprawa wygląda tak, że podstron mam dziesiątki.

Można np. automatycznie zassać do tablicy wszystkie obecne pliki w tym katalogu ale wtedy i tak nie zabezpieczasz się przed tym co opisałeś niżej:
Cytat(GrumpyDogue @ 25.02.2015, 14:07:13 ) *
Raz na FTP znalazły się jakieś dziwne pliki - ktoś najwidoczniej je w jakiś sposób wrzucił na serwer.
Alternatyną, ktrótszą w sensie ilości znaków opcją byłoby zamiast SWITCH() wrzucić wszystkie możliwości do tablicy i potem sprawdzać czy wartość wywoływana w $_GET jest w tablicy. Ale efekt będzie ten sam co przy użyciu SWITCH() a i dochodzi Ci wtedy co najmniej jedna pętla. Jeśli chcesz to pokażę Ci jak to zrobić ale dużo pracy tym nie zaoszczędzisz.


Cytat(Aqu @ 25.02.2015, 14:22:41 ) *
Możesz po prostu sprawdzać za pomocą preg_match, czy w stringu są tylko litery.
To i tak nie zabezpieczy. Wystarczy, że ktoś wrzuci mu do katalogu plik bez rozszerzenia (bo kropkę preg_match wyrzuci) a jego skrypt mu doda do pliku .php. Tak więc nie, nie wystarczy.


Cytat(GrumpyDogue @ 25.02.2015, 14:27:07 ) *
EDIT: no właśnie do zmiennej 'dzial' przypisuję wartość z ukośnikiem. W niektórych przypadkach do zmiennej 'strona' także. To poważny błąd?
Nie, to nie bląd ale może powodować komplikacje. Np. nie bardzo rozumiem po co to robisz. I tak nazwa pliku/katalogu nie może zawierać ani slash'a ani backslash'a. Więc po ch...?

Ogólnie to polecam metodę ze SWTICH() opisaną przeze mnie wcześniej. Bo wystarczy, że ktoś wpisze taki adres:
Kod
http://twoja-strona.pl/index.php?dzial=www.stronaHakeraZeSzkodliwymKodemPHP.pl/plik

I już twój skrypt po wcześniejszym INCLUDE wykonuje kod bandziora.

Ten post edytował sadistic_son 25.02.2015, 14:57:46
Go to the top of the page
+Quote Post

Posty w temacie
- GrumpyDogue   [HTML][MySQL][PHP]Zabezpieczenie strony w PHP z bazą MySQL bez formularzy itp.   25.02.2015, 10:43:26
- - sadistic_son   Cytat(GrumpyDogue @ 25.02.2015, 10:43...   25.02.2015, 10:50:57
|- - GrumpyDogue   Cytat(sadistic_son @ 25.02.2015, 10:50...   25.02.2015, 11:46:33
- - Aqu   [PHP] pobierz, plaintext $dzial."/".$str...   25.02.2015, 12:03:16
|- - GrumpyDogue   Cytat(Aqu @ 25.02.2015, 12:03:16 ) [P...   25.02.2015, 12:21:45
- - Aqu   Czyli masz w kodzie: [PHP] pobierz, plaintext $dzi...   25.02.2015, 12:26:32
|- - GrumpyDogue   Cytat(Aqu @ 25.02.2015, 12:26:32 ) Cz...   25.02.2015, 12:37:58
- - Damonsson   GETa przepuszcza przez preg_match i usuwa co niebe...   25.02.2015, 13:07:40
|- - GrumpyDogue   Cytat(Damonsson @ 25.02.2015, 13:07:4...   25.02.2015, 13:14:43
- - Damonsson   Czekaj czekaj, mała poprawka, nie zostawiasz tam p...   25.02.2015, 13:25:04
|- - redeemer   Cytat(Damonsson @ 25.02.2015, 13:25:0...   25.02.2015, 13:40:10
|- - sadistic_son   Cytat(Damonsson @ 25.02.2015, 13:25:0...   25.02.2015, 13:46:48
- - GrumpyDogue   Dzięki! A dałoby się to jakoś krócej rozwiązać...   25.02.2015, 14:07:13
- - Aqu   Możesz po prostu sprawdzać za pomocą preg_match, c...   25.02.2015, 14:22:41
- - GrumpyDogue   Mógłbyś mi pokazać w jaki to sposób będzie wygląda...   25.02.2015, 14:27:07
- - sadistic_son   Cytat(GrumpyDogue @ 25.02.2015, 14:07...   25.02.2015, 14:49:43
- - GrumpyDogue   Dzięki! Więc tak zrobię z tym Switchem. I to p...   25.02.2015, 15:10:23
- - sadistic_son   Cytat(GrumpyDogue @ 25.02.2015, 15:10...   25.02.2015, 15:16:00
- - Aqu   CytatTo i tak nie zabezpieczy. Wystarczy, że ktoś ...   25.02.2015, 15:27:57
|- - sadistic_son   Cytat(Aqu @ 25.02.2015, 15:27:57 ) Ja...   25.02.2015, 15:33:07
- - Aqu   No dobra, ktoś może dorzucać mu pliki na serwer, w...   25.02.2015, 15:35:53
- - DraGo110   Polecam Bibliotekę PDO. zawiera ona m.i.n bindowan...   25.02.2015, 15:38:27
- - GrumpyDogue   Spoko, w wolnym czasie rzucę okiem na tę bibliotek...   25.02.2015, 19:04:06
- - DraGo110   oba rozwiązania są dobre gdyby nie to że w Case ni...   26.02.2015, 12:02:42
- - GrumpyDogue   Hmm no właśnie ten case nie do końca się spisuje. ...   26.02.2015, 12:31:19
- - sadistic_son   Nie wiem czy dobrze zrozumiałem jaki masz problem ...   4.03.2015, 11:02:13
- - Pyton_000   Jak widze taką sraj taśmę to aż mi się .... Proszę...   4.03.2015, 11:20:06
- - sadistic_son   Nie do końca, bo jeśli postac3 jest w gra1 i gra2 ...   4.03.2015, 11:26:28

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 18.10.2025 - 01:24
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn