Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP]Bezpieczna długość zmiennej
Szunaj85
post
Post #1





Grupa: Zarejestrowani
Postów: 392
Pomógł: 7
Dołączył: 11.05.2008

Ostrzeżenie: (0%)
-----

Staram się filtrować dane pochodzące od użytkownika. Mam na myśli różnego rodzaju formularze. Cytat z innej strony: "Zmienna powinna mieć radykalne ograniczenia wielkości, tak aby potencjalny włamywacz nie mógł zablokować naszej strony.". Chcę użyć funkcji strlen aby ograniczyć długość tekstu. I moje pytanie. Jaka jest bezpieczna długość zmiennej pochodząca od użytkownika, aby uniknąć takiej sytuacji? (IMG:http://forum.php.pl/style_emoticons/default/blinksmiley.gif)

Ten post edytował Szunaj85 24.04.2009, 21:00:08
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
nospor
post
Post #2





Grupa: Moderatorzy
Postów: 36 559
Pomógł: 6315
Dołączył: 27.12.2004
dane, które z założenia nie powinny zawierac kodu html (czyli na dobrą sprawe prawie wszystkie) nalezy przepuszczac przez strip_tags. Ma nie zawierac i koniec kropka.
Nalezy oczywiscie pamietac, ze przed ich wyswietleniem nalezy je rownież przepuscic przez htmlspecialchars() - dla pewnosci. Nigdy nie wiadomo czy na jakims etapie rozwoju aplikacji nie wkradnie nam sie jakis blad w filtracji, wiec dla spokoju warto uzywac tej funkcji.

Co do glownego problemu w temacie:
cytat z arta, ktorego podano na początku:
Cytat
Zmienna powinna mieć radykalne ograniczenia wielkości, tak aby potencjalny włamywacz nie mógł zablokować naszej strony.

A nastepnie w kodzie dają ograniczenie do 255 znakow (IMG:http://forum.php.pl/style_emoticons/default/blinksmiley.gif)
Zeby zablokowac komus strone to i 50 znakow starczy wiec zacytowany argument jest dość smieszny.
Owszem, należy sprawdzac dlugość tekstu, bo jesli baza przyjmuje tylko 255 znakow to dobrze by bylo, by tylko do niej tyle wkladac. Ot i cała filozofia

Cytat
Stosując strip_tags przed zapisem do bazy można stracić treść, która jest między tagami.
Toż to straszne. Jak ktos jest na tyle glupi (lub tez probuje nam XSS walnac),ze swoje imie wklada miedzy tagi, to jego sprawa (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Poza tym strip_tags tak latwo nie usuwa tresci, wiec naprawde nie ma co sie martwic
Go to the top of the page
+Quote Post

Posty w temacie
- Szunaj85   [PHP]Bezpieczna długość zmiennej   24.04.2009, 20:24:49
- - Spawnm   a daj link do tego arta może chodziło o atak XS...   24.04.2009, 21:15:25
- - Szunaj85   http://www.webinside.pl/php/artykuly/197 Tam pisze...   24.04.2009, 21:37:26
- - batman   Czytam i czytam i nadziwić się nie mogę, że ludzie...   24.04.2009, 22:12:26
|- - ddiceman   Cytat(batman @ 24.04.2009, 23:12:26 )...   29.04.2009, 10:00:12
- - kamil4u   Cytat1. Wywalanie kodu html/js tam, gdzie nie jest...   24.04.2009, 22:20:54
- - kamil4u   Zgoda, ale to ma się nijak do bezpiecze...   24.04.2009, 22:28:18
- - kamil4u   Rozmawiamy o bezpieczeństwie naszej aplikacji. Po ...   24.04.2009, 22:36:10
- - kamil4u   Pisałem, że rozmawiamy o bezpieczeństwie nie o est...   24.04.2009, 22:49:31
- - v1t4n   bezpieczenstwo bezpieczenstwem ale jak mi ktos zam...   25.04.2009, 01:36:54
- - batman   Cytat(kamil4u @ 24.04.2009, 23:49:31 ...   25.04.2009, 05:53:11
- - Crozin   @batman: nic się nie stanie. Zostanie wyświetlony ...   25.04.2009, 08:13:21
- - batman   @Crozin Pozostaje mi tylko jedno do powiedzenia - ...   25.04.2009, 08:19:01
- - Crozin   Pamiętaj, że cały czas mówimy w odniesieni do:Cyta...   25.04.2009, 08:23:27
- - vokiel   Odnośnie tematu topiku ("Bezpieczna długość z...   25.04.2009, 13:42:18
- - Szunaj85   Nie spodziewałem się, że rozmowa pó...   25.04.2009, 21:07:20
- - Spawnm   mysql_real_escape_string" title="Zobacz w manualu ...   25.04.2009, 21:17:03
- - batman   CytatOdnośnie tematu topiku ("Bezpieczna dług...   25.04.2009, 21:37:43
- - Spawnm   jako osoba filtrująca tylko przy zapisie mam pytan...   25.04.2009, 21:55:21
- - l0ud   W takim wypadku trzeba najpierw przefiltrować dane...   25.04.2009, 22:25:02
- - dr_bonzo   Ja nie kasuje tagow, i nie zapisuje w bazie danych...   25.04.2009, 22:34:53
- - Szunaj85   Przeczytałem wasze posty i poszperałem w...   28.04.2009, 21:58:24
- - batman   Moim zdaniem zmienna powinna być czyszczona z tagó...   29.04.2009, 07:14:13
- - nieraczek   Stosując strip_tags przed zapisem do bazy mo...   29.04.2009, 08:00:35
- - nospor   dane, które z założenia nie powinny zawi...   29.04.2009, 08:00:43
- - nieraczek   ok dzieki nospor A co z: [PHP] pobierz, plaintex...   29.04.2009, 08:12:31
- - nospor   @nieraczek jesli juz tak bardzo chcesz komus pozwo...   29.04.2009, 08:14:43
- - nospor   @ddiceman akurat batman mowiąc "bzdura" ...   29.04.2009, 10:07:04
- - batman   Ludzie. Autor nie pytał się czy trzeba sprawdzać d...   29.04.2009, 10:09:07
- - megawebmaster   Przy okazji - strip_tags przecież umożliwia przepu...   29.04.2009, 12:07:27

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 11.10.2025 - 18:02
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn