[PHP] Kilka pytań odnośnie bezpieczeństwa i filtracji danych. Opcje

[arkos]

Witajcie, mam kilka pytań odnośnie bezpieczeństwa, w PHP i filtracji danych.
Od razu powiem na wstępnie, że przeczytałem całą książkę: "PHP5 Bezpieczne programowanie J.Ross, wydawnictwa Helion", oraz wiele wiele stron poświęconych bezpieczeństwu. Ale kto pyta nie błądzi (IMG:style_emoticons/default/smile.gif)

A więc moje pierwsze pytanie, może trochę głupie no ale...:
Przycisk wysyłający formularz, i po którym jest sprawdzane w PHP, czy został wsyłany:

[HTML] pobierz, plaintext 
<input type="submit" name="register" value="Zarejestruj się">
[HTML] pobierz, plaintext 

Sprawdzanie, w PHP:

[PHP] pobierz, plaintext 
if(isset($_POST['register'])){ echo 'Akcje po wysłaniu'; }
[PHP] pobierz, plaintext 

Czy takie coś jest bezpieczne, czy w taki sposób ktoś może wstrzyknąć tutaj jakiś kod, czy muszę jeszcze jakoś zmienną $_POST['register'] filtrować?

Przy każdym wysyłaniu formularza sprawdzam dane, w taki sposób:

[PHP] pobierz, plaintext 
$login = $_POST['login'];
$pass = $_POST['pass'];
$pass2 = $_POST['pass2'];
if(!isset($login)) { info_blad('Podaj login'); }
elseif(!preg_match('/^[0-9a-zA-Z_]*$/i', $login)){ info_blad('Błędne znaki w loginie!'); }
elseif(strlen($login)<5) { info_blad('Podaj dłuższy login'); }
elseif(strlen($login)>50) { info_blad('Podaj krótszy login'); }
elseif(num_rows('`users` WHERE `login`="'.$login.'"') >= 1) { info_blad('Login jest zajęty); }
 
elseif(!isset($pass)) { info_blad('Podaj hasło'); }
elseif(!preg_match('/^[0-9a-zA-Z!@#%^&*()-_=+,.]*$/i', $pass)){ info_blad('Błędne znaki w haśle'); }
elseif(strlen($pass)<6) { info_blad('Podaj dłuższy login'); }
elseif(strlen($pass)>50) { info_blad('Podaj krótszy login'); }
elseif($pass!=$pass2) { info_blad('Hasła się nie zgadzają'); }
....
else{ echo 'akcje po poprawnym sprawdzeniu danych, dodanie do bazy'; } 
[PHP] pobierz, plaintext 

Czy sprawdzanie takie jest zarówno bezpieczne jak i również optmalne pod względem wydajności, taki typ stosuję w każdym formularzu na stronie, a jest ich sporo.

A może napisać jakąś klasę do usprawnienia tego procesu, niestet z klasami niezabardzo daję sobie radę?
Tak, aby dane były sprawdzane, np. w taki sposób:

[PHP] pobierz, plaintext 
$sprawdz = new post_sprawdz();
$sprawdz_dane -> liczby = $_POST['numer_domu']; // komunikat o ew. błędzie
$sprawdz_dane -> znaki_az = $_POST['imie']; // komunikat o ew. błędzie
itd.
 // jeżeli wszystko się zgadza
echo 'akcje dodania danych do bazy, np.';
[PHP] pobierz, plaintext 

Pozdrawiam, i liczę na Wasze rady i propozycje (IMG:style_emoticons/default/smile.gif)

Ten post edytował arkos 11.02.2012, 19:07:30

[arkos]

ActivePlayer, z góry dzięki za odpowiedź.

Tak, oczywiście te aspekty znam. Wpisałem tak jak napisałeś: mojlogin_istniejacy_juz_w_bazie' OR 1='1
To zapytanie nie przejdzie ponieważ validator go nie przepuści, w powyższym formularzu, chyba że się mylę i działa to w inny sposób?

Dodatkowo pisząc tutaj o javascript i wstrzyknięciu kodu nasuwa mi się już pewne zagadnienie.
Przypuśćmy, że wyświetlę:

[PHP] pobierz, plaintext 
echo $_GET['dane'];
[PHP] pobierz, plaintext 

Dodatkowo, w PHP, np. wyłączone jest dodawanie \ przed ' oraz " (czy przy włączonym uniemożliwi to, czy tylko utrudni?).
Ktoś sobie "wstrzyknie" javascript. To się wyświetli u niego w przeglądarce tylko i wyłącznie, więc jaki to ma skutek?
Przecież X użytkownikowi "wstrzyknięty" kod się nie wyświetli. Zresztą poco mu takie wstrzykiwanie, łatwiej użyć: Konsoli dla programistów, np. w Google Chrome.

Mam jeszcze jedno pytanie, czy można podać dane, w jakiś inny sposób niż jako tekst, np. w GET? Np, w jakimś kodzie HEXowym, czy innym, wtedy "uniknie się" dodania back shlesh przed ' lub " co znacznie zwiększa niebezpieczeństwo?

PS. Liczę również na odpowiedź na pytania zawarte w pierwszym poście.

Ten post edytował arkos 11.02.2012, 18:43:46