[PHP] Kilka pytań odnośnie bezpieczeństwa i filtracji danych. Opcje

[arkos]

Witajcie, mam kilka pytań odnośnie bezpieczeństwa, w PHP i filtracji danych.
Od razu powiem na wstępnie, że przeczytałem całą książkę: "PHP5 Bezpieczne programowanie J.Ross, wydawnictwa Helion", oraz wiele wiele stron poświęconych bezpieczeństwu. Ale kto pyta nie błądzi (IMG:style_emoticons/default/smile.gif)

A więc moje pierwsze pytanie, może trochę głupie no ale...:
Przycisk wysyłający formularz, i po którym jest sprawdzane w PHP, czy został wsyłany:

[HTML] pobierz, plaintext 
<input type="submit" name="register" value="Zarejestruj się">
[HTML] pobierz, plaintext 

Sprawdzanie, w PHP:

[PHP] pobierz, plaintext 
if(isset($_POST['register'])){ echo 'Akcje po wysłaniu'; }
[PHP] pobierz, plaintext 

Czy takie coś jest bezpieczne, czy w taki sposób ktoś może wstrzyknąć tutaj jakiś kod, czy muszę jeszcze jakoś zmienną $_POST['register'] filtrować?

Przy każdym wysyłaniu formularza sprawdzam dane, w taki sposób:

[PHP] pobierz, plaintext 
$login = $_POST['login'];
$pass = $_POST['pass'];
$pass2 = $_POST['pass2'];
if(!isset($login)) { info_blad('Podaj login'); }
elseif(!preg_match('/^[0-9a-zA-Z_]*$/i', $login)){ info_blad('Błędne znaki w loginie!'); }
elseif(strlen($login)<5) { info_blad('Podaj dłuższy login'); }
elseif(strlen($login)>50) { info_blad('Podaj krótszy login'); }
elseif(num_rows('`users` WHERE `login`="'.$login.'"') >= 1) { info_blad('Login jest zajęty); }
 
elseif(!isset($pass)) { info_blad('Podaj hasło'); }
elseif(!preg_match('/^[0-9a-zA-Z!@#%^&*()-_=+,.]*$/i', $pass)){ info_blad('Błędne znaki w haśle'); }
elseif(strlen($pass)<6) { info_blad('Podaj dłuższy login'); }
elseif(strlen($pass)>50) { info_blad('Podaj krótszy login'); }
elseif($pass!=$pass2) { info_blad('Hasła się nie zgadzają'); }
....
else{ echo 'akcje po poprawnym sprawdzeniu danych, dodanie do bazy'; } 
[PHP] pobierz, plaintext 

Czy sprawdzanie takie jest zarówno bezpieczne jak i również optmalne pod względem wydajności, taki typ stosuję w każdym formularzu na stronie, a jest ich sporo.

A może napisać jakąś klasę do usprawnienia tego procesu, niestet z klasami niezabardzo daję sobie radę?
Tak, aby dane były sprawdzane, np. w taki sposób:

[PHP] pobierz, plaintext 
$sprawdz = new post_sprawdz();
$sprawdz_dane -> liczby = $_POST['numer_domu']; // komunikat o ew. błędzie
$sprawdz_dane -> znaki_az = $_POST['imie']; // komunikat o ew. błędzie
itd.
 // jeżeli wszystko się zgadza
echo 'akcje dodania danych do bazy, np.';
[PHP] pobierz, plaintext 

Pozdrawiam, i liczę na Wasze rady i propozycje (IMG:style_emoticons/default/smile.gif)

Ten post edytował arkos 11.02.2012, 19:07:30

[arkos]

Ok, to byłoby na tyle myślę.

Dzięki, jak coś mi się kiedyś przypomni, napiszę w tym temacie.

Tak, wiem niezły odkop na forum. (IMG:style_emoticons/default/biggrin.gif) Ale jednak coś mi się jeszcze przypomniało.

Czy w jakiś sposób (jeżeli chodzi o wynik końcowy) różni się wykonanie funkcji stripslashes_array przedstawionej przez wNogachSpisz (Post #14) od następującego zapisu?:

[PHP] pobierz, plaintext 
if(get_magic_quotes_gpc()){
	$_GET	 = array_map('stripslashes', $_GET);
	$_POST	 = array_map('stripslashes', $_POST);
	$_COOKIE = array_map('stripslashes', $_COOKIE);
}
[PHP] pobierz, plaintext 

Dzięki za pomoc!