[PHP] Kilka pytań odnośnie bezpieczeństwa i filtracji danych. Opcje

[arkos]

Witajcie, mam kilka pytań odnośnie bezpieczeństwa, w PHP i filtracji danych.
Od razu powiem na wstępnie, że przeczytałem całą książkę: "PHP5 Bezpieczne programowanie J.Ross, wydawnictwa Helion", oraz wiele wiele stron poświęconych bezpieczeństwu. Ale kto pyta nie błądzi (IMG:style_emoticons/default/smile.gif)

A więc moje pierwsze pytanie, może trochę głupie no ale...:
Przycisk wysyłający formularz, i po którym jest sprawdzane w PHP, czy został wsyłany:

[HTML] pobierz, plaintext 
<input type="submit" name="register" value="Zarejestruj się">
[HTML] pobierz, plaintext 

Sprawdzanie, w PHP:

[PHP] pobierz, plaintext 
if(isset($_POST['register'])){ echo 'Akcje po wysłaniu'; }
[PHP] pobierz, plaintext 

Czy takie coś jest bezpieczne, czy w taki sposób ktoś może wstrzyknąć tutaj jakiś kod, czy muszę jeszcze jakoś zmienną $_POST['register'] filtrować?

Przy każdym wysyłaniu formularza sprawdzam dane, w taki sposób:

[PHP] pobierz, plaintext 
$login = $_POST['login'];
$pass = $_POST['pass'];
$pass2 = $_POST['pass2'];
if(!isset($login)) { info_blad('Podaj login'); }
elseif(!preg_match('/^[0-9a-zA-Z_]*$/i', $login)){ info_blad('Błędne znaki w loginie!'); }
elseif(strlen($login)<5) { info_blad('Podaj dłuższy login'); }
elseif(strlen($login)>50) { info_blad('Podaj krótszy login'); }
elseif(num_rows('`users` WHERE `login`="'.$login.'"') >= 1) { info_blad('Login jest zajęty); }
 
elseif(!isset($pass)) { info_blad('Podaj hasło'); }
elseif(!preg_match('/^[0-9a-zA-Z!@#%^&*()-_=+,.]*$/i', $pass)){ info_blad('Błędne znaki w haśle'); }
elseif(strlen($pass)<6) { info_blad('Podaj dłuższy login'); }
elseif(strlen($pass)>50) { info_blad('Podaj krótszy login'); }
elseif($pass!=$pass2) { info_blad('Hasła się nie zgadzają'); }
....
else{ echo 'akcje po poprawnym sprawdzeniu danych, dodanie do bazy'; } 
[PHP] pobierz, plaintext 

Czy sprawdzanie takie jest zarówno bezpieczne jak i również optmalne pod względem wydajności, taki typ stosuję w każdym formularzu na stronie, a jest ich sporo.

A może napisać jakąś klasę do usprawnienia tego procesu, niestet z klasami niezabardzo daję sobie radę?
Tak, aby dane były sprawdzane, np. w taki sposób:

[PHP] pobierz, plaintext 
$sprawdz = new post_sprawdz();
$sprawdz_dane -> liczby = $_POST['numer_domu']; // komunikat o ew. błędzie
$sprawdz_dane -> znaki_az = $_POST['imie']; // komunikat o ew. błędzie
itd.
 // jeżeli wszystko się zgadza
echo 'akcje dodania danych do bazy, np.';
[PHP] pobierz, plaintext 

Pozdrawiam, i liczę na Wasze rady i propozycje (IMG:style_emoticons/default/smile.gif)

Ten post edytował arkos 11.02.2012, 19:07:30

[wNogachSpisz]

1. W tej zmiennej może być wszystko, np. tablica z potężną ilością elementów lub wielka tablica wielowymiarowa. Mogą tam się znaleźć dowolne dane binarne, albo pusty ciąg znaków. O ile nie masz zamiaru używać danych z $_POST[‘register’] oraz masz pewność ze nigdzie w skrypcie nie użyjesz niezadeklarowanej zmiennej $register (patrz register_globals vuln). To powinieneś być bezpieczny.
2. Po co dodawać addslashes? Ja robie dokładnie w druga stronę, odwracam zniszczenia jakie poczynia magic_quotes jeśli jest włączone:

[PHP] pobierz, plaintext 
function stripslashes_array(&$array, $iterations=0) {
    if ($iterations < 3) {
        foreach ($array as $key => $value) {
            if (is_array($value)) {
                stripslashes_array($array[$key], $iterations + 1);
            } else {
                $array[$key] = stripslashes($array[$key]);
            }
        }
    }
}
 
if (get_magic_quotes_gpc()) {
    stripslashes_array($_GET);
    stripslashes_array($_POST);
    stripslashes_array($_COOKIE);
}
[PHP] pobierz, plaintext 

Wychodze z założenia, że chce mieć dane dokładnie w takiej formie w jakiej zostały wysłane przez użytkownika, sam decyduje jak trzeba się z nimi obejść, nie pozostawiam tego ustawieniom php.ini.
3. Nie rozumiem, rozwiń.
4. Może mieć różne przykre konsekwencje, może podesłać adres takiej strony komuś kto ma na Twojej stronie konto i je przejąć.
5. To zależy na jakich uprawnieniach działa baza, jeśli na root to można tworzyć pliki zapytaniem. Zabezpiecz się przez SQL injection np. używając ActiveRecords.
6. To na prawdę zależy, musiałbyś przedstawić wszystkie założenia projektu.