[HTML][MySQL][PHP]Zabezpieczenie strony w PHP z bazą MySQL bez formularzy itp. Opcje

[GrumpyDogue]

Witam. Od pewnego czasu nurtuje mnie pewna kwestia. Jak mogę zabezpieczyć swoją stronę? Szukałem wszędzie informacji na ten temat, niestety wszędzie gdzie napisane jest coś o bezpieczeństwie, przykłady dotyczą strony z panelami administracyjnymi, formularzami kontaktowymi itd. Otóż moja strona jest dosyć specyficzna - to zwykła strona informacyjna, która nie zawiera żadnych formularzy itp. Użytkownik praktycznie nigdzie nie podaje wartości żadnej zmiennej. Czytałem sporo poradników na temat bezpieczeństwa i wydaje mi się, że wszystko jest dobrze, jednak bardzo przyda mi się także opinia ekspertów w tej sprawie, gdyż zawsze mogło mi coś umknąć. Byłbym wdzięczny za sprawdzenie czy wszystko jest w porządku w tych linijkach kodu:

[PHP] pobierz, plaintext 
<?php
ob_start();
foreach($_GET as $k=>$v)
    $_GET[$k] = (preg_match("/[0-9a-z_]+/",$v) ? stripslashes(htmlspecialchars(strip_tags($v))): '');
 
error_reporting(0);
$dzial = $_GET['dzial'];
$strona = $_GET['strona'];
 
$connection = mysql_connect('localhost', 'root', '')
or die('Brak polaczenia z serwerem MySQL.');
$db = mysql_select_db('baza', $connection)
or die('Brak polaczenia z baza danych.');
 
mysql_query("SET NAMES utf8");
?>
[PHP] pobierz, plaintext 

Pliki includuję w ten sposób:

[PHP] pobierz, plaintext 
<?php include ("folder/plik.php"); ?>
[PHP] pobierz, plaintext 

W ten sposób wczytuję treść do "głównego" diva (na początku kiedy nie ma żadnych zmiennych w pasku adresu, wczytują się newsy):

[PHP] pobierz, plaintext 
<?php
if(!empty($dzial))
{
    if(is_file($dzial."/".$strona.".html"))
    {
        include ("include/naglowki.php");
        include($dzial."/".$strona.".html");
    }
    else echo "<p>Nie odnaleziono wybranej strony.</p>";
}
else include ("newsy/news.html");
?>
[PHP] pobierz, plaintext 

W pliku naglowki.php są zmienne, które wyglądają w ten sposób:

[PHP] pobierz, plaintext 
<?php
    $naglowek1 = "<div style=\"width: 100%; background-image: url(tlo-ramki.jpg);\"><img src=\"tytul.jpg\" alt=\"img\" style=\"width: X%; height: Xpx;\">";
?>
[PHP] pobierz, plaintext 

Nagłówek jest wyświetlany w PLIKU HTML (czy to jest błąd, że plik jest w html i posiada kod php? I tak jest includowany do index.php, więc ma to jakieś znaczenie?) na samym początku w ten sposób:

[PHP] pobierz, plaintext 
<?php echo $naglowek1; ?>
[PHP] pobierz, plaintext 

Tak wygląda odnośnik w menu*:

[HTML] pobierz, plaintext 
<a href="index.php?dzial=gry/gra1&amp;strona=info">Gra 1</a>
[HTML] pobierz, plaintext 

Tak wygląda moje zapytanie do bazy MySQL wyciągające newsy:

[PHP] pobierz, plaintext 
<?php
    $result = mysql_query("SELECT * FROM newsy LIMIT 3");
 
    if(mysql_num_rows($result) > 0)
    {
        while($r = mysql_fetch_assoc($result))
        {
            echo "<div class='news'>";
            echo "<div class='tytul'>";
            echo "".$r['data'].": <i style=\"color: gold;\">".$r['tytul']."</i>";
            echo "<div class='autor'>Dodał: ".$r['autor']."</div>";
            echo "</div>";
            echo $r['zawartosc'];
            echo "</div>";
        }
    }
?>
[PHP] pobierz, plaintext 

Zapytanie wyciągające z bazy np. linki do najnowszych filmów z kanału YT:

[PHP] pobierz, plaintext 
<?php
    $result = mysql_query("SELECT * FROM filmy ORDER BY ID DESC LIMIT 5")
    or die('Błąd zapytania');
 
    if(mysql_num_rows($result) > 0)
    {
        while($r = mysql_fetch_assoc($result))
        {
            echo "<li><a style=\"margin-top: 5px;\" class=\"menu\" target=\"_blank\" href=\"".$r['link']."\">".$r['tytul']."</a></li>";
        }
    }
?>
[PHP] pobierz, plaintext 

Tak wygląda zawartość kolumny 'zawartosc' w tabeli z newsami w bazie MySQL (czy kod HTML nie jest zagrożeniem kiedy jest pobierany z bazy?):

[HTML] pobierz, plaintext 
<img alt="img" src="sciezka/do/obrazka" style="width: x%; height: Xpx;">
<p>Tresc newsa</p>
[HTML] pobierz, plaintext 

To jest na końcu pliku index.php

[PHP] pobierz, plaintext 
<?php
    mysql_close($connection);
    ob_end_flush();
?>
[PHP] pobierz, plaintext 

* - odnośnik w menu - zastanawia mnie właśnie czy bezpiecznie jest kiedy w zmiennej znajdują się ukośniki: / (zmienna dział przyjmuje wartość z ukośnikiem: dzial=gry/gra1).

Czy zauważyliście w tym kodzie jakieś luki, które mogłyby umożliwić komuś atak? Będę wdzięczny za przeanalizowanie tych fragmentów kodu. Mam obsesję na tym punkcie, tj. chcę mieć pewność, że strona jest bezpieczna. Pozdrawiam!

[sadistic_son]

Dzięki! Więc tak zrobię z tym Switchem. I to powinno zabezpieczyć mnie przed tym co już raz się stało? W sensie, że to uniemożliwi komuś wrzucenie szkodliwych plików PHP?

Zdecydowanie tak! No chyba, że ktoś ma możliwość podmiany Twoich plików na FTP, ale jeśli tak jest to raz, że się przed tym nie zabezpieczysz przy użyciu PHP, a dwa, że wtedy radziłbym pomyśleć o zmianie firmy hostingowej (IMG:style_emoticons/default/wink.gif)

EDIT: a zmiennym przypisuję wartość z ukośnikiem, bo taką mam strukturę katalogów i jeśli to jest niekonieczne to wolałbym tego nie zmieniać już - w wielu miejscach w internecie pojawiały się już linki do niektórych podstron i gdybym zmienił teraz wszystko to linki przestałyby być aktualne.

Jak już wcześniej pisałem to nie jest błąd, lecz raczej bym tego nie zaliczył do dobrych nawyków. Z tego co pobieżnie przejrzałem Twój kod to Tobie to problemów nie sprawi, więc feel free aby tak to zostawić.

Ten post edytował sadistic_son 25.02.2015, 15:22:19