[PHP] Kilka pytań odnośnie bezpieczeństwa i filtracji danych. Opcje

[arkos]

Witajcie, mam kilka pytań odnośnie bezpieczeństwa, w PHP i filtracji danych.
Od razu powiem na wstępnie, że przeczytałem całą książkę: "PHP5 Bezpieczne programowanie J.Ross, wydawnictwa Helion", oraz wiele wiele stron poświęconych bezpieczeństwu. Ale kto pyta nie błądzi (IMG:style_emoticons/default/smile.gif)

A więc moje pierwsze pytanie, może trochę głupie no ale...:
Przycisk wysyłający formularz, i po którym jest sprawdzane w PHP, czy został wsyłany:

[HTML] pobierz, plaintext 
<input type="submit" name="register" value="Zarejestruj się">
[HTML] pobierz, plaintext 

Sprawdzanie, w PHP:

[PHP] pobierz, plaintext 
if(isset($_POST['register'])){ echo 'Akcje po wysłaniu'; }
[PHP] pobierz, plaintext 

Czy takie coś jest bezpieczne, czy w taki sposób ktoś może wstrzyknąć tutaj jakiś kod, czy muszę jeszcze jakoś zmienną $_POST['register'] filtrować?

Przy każdym wysyłaniu formularza sprawdzam dane, w taki sposób:

[PHP] pobierz, plaintext 
$login = $_POST['login'];
$pass = $_POST['pass'];
$pass2 = $_POST['pass2'];
if(!isset($login)) { info_blad('Podaj login'); }
elseif(!preg_match('/^[0-9a-zA-Z_]*$/i', $login)){ info_blad('Błędne znaki w loginie!'); }
elseif(strlen($login)<5) { info_blad('Podaj dłuższy login'); }
elseif(strlen($login)>50) { info_blad('Podaj krótszy login'); }
elseif(num_rows('`users` WHERE `login`="'.$login.'"') >= 1) { info_blad('Login jest zajęty); }
 
elseif(!isset($pass)) { info_blad('Podaj hasło'); }
elseif(!preg_match('/^[0-9a-zA-Z!@#%^&*()-_=+,.]*$/i', $pass)){ info_blad('Błędne znaki w haśle'); }
elseif(strlen($pass)<6) { info_blad('Podaj dłuższy login'); }
elseif(strlen($pass)>50) { info_blad('Podaj krótszy login'); }
elseif($pass!=$pass2) { info_blad('Hasła się nie zgadzają'); }
....
else{ echo 'akcje po poprawnym sprawdzeniu danych, dodanie do bazy'; } 
[PHP] pobierz, plaintext 

Czy sprawdzanie takie jest zarówno bezpieczne jak i również optmalne pod względem wydajności, taki typ stosuję w każdym formularzu na stronie, a jest ich sporo.

A może napisać jakąś klasę do usprawnienia tego procesu, niestet z klasami niezabardzo daję sobie radę?
Tak, aby dane były sprawdzane, np. w taki sposób:

[PHP] pobierz, plaintext 
$sprawdz = new post_sprawdz();
$sprawdz_dane -> liczby = $_POST['numer_domu']; // komunikat o ew. błędzie
$sprawdz_dane -> znaki_az = $_POST['imie']; // komunikat o ew. błędzie
itd.
 // jeżeli wszystko się zgadza
echo 'akcje dodania danych do bazy, np.';
[PHP] pobierz, plaintext 

Pozdrawiam, i liczę na Wasze rady i propozycje (IMG:style_emoticons/default/smile.gif)

Ten post edytował arkos 11.02.2012, 19:07:30

[ActivePlayer]

1. przed wstawieniem danych do bazy użyj mysql_escape_string
2. przy pobieraniu danych z bazy filtruj wszystkie parametry (głównie te, które pobierasz z geta/posta), używając mysql_escape_string, rzutowania danych oraz ich walidacji
3. przy wyświetlaniu na stronie danych wpisanych przez użytkowników zawsze używaj htmlentities lub strip_tags, aby nikt nie wstrzyknął Ci swojego kodu javascript na stronę

imho to są 3 najważniejsze sprawy, związane z bezpieczeństwem.

w Twoim przypadku to "'`users` WHERE `login`="'.$login.'"'" jest potencjalnie niebezpieczne. wyobraź sobie że w $login masz wpisane

Kod

1' OR 1='1