Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP] include z $_GET
desavil
post
Post #1





Grupa: Zarejestrowani
Postów: 339
Pomógł: 3
Dołączył: 15.10.2008
Skąd: Internet

Ostrzeżenie: (0%)
-----

Witam.
Zastanawiam się, czy to co robię jest bezpieczne dla mojego serwisu:
[PHP] pobierz, plaintext 
  1. <?php
  2. $get_page = $_GET['page'];
  3. if(!empty($get_page) && preg_match('/^[0-9a-zA-Z\-]*$/i', $get_page) && file_exists('pages/'.$get_page.'.php')){ require('pages/'.$get_page.'.php'); }else{ require('pages/index.php'); }
  4. ?>
[PHP] pobierz, plaintext

Czy już samo preg_match gwarantuje duże bezpieczeństo? Jak z niego wnioskuję nic oprócz podanych znaków/zakresów znaków nie przejdzie, czyli wprowadzenie w $_GET adresu URL, czy też próba wyjścia przed katalog pages (GET=../plik) będzie nie możliwe, gdyż są tam znaczniki które nie przejdą (/ , : .).
Dobrze myślę, czy się mylę? A może muszę jeszcze $get_page przepuścić przez htmlspecialchars, itp?

Tak samo z dodawaniem do bazy, jeżeli dane przejdą przez takiego preg_match'a to nie ma prawa wykonać się żaden sql injection, gdyż nie wprowadzi potencjalny włamywacz znaków, np. = ' " ` itp?

Pozdrawiam!

Ten post edytował desavil 6.03.2012, 08:53:01
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
by_ikar
post
Post #2





Grupa: Zarejestrowani
Postów: 1 798
Pomógł: 307
Dołączył: 13.05.2009
Skąd: Gubin/Wrocław

Ostrzeżenie: (0%)
-----

A po co do tego regexp? Wystarczy zabronić takiemu ludkowi wychodzić katalog wyżej, i będzie mógł wówczas "otworzyć" pliki tylko te które są w danym katalogu. Druga sprawa. Przypisujesz wartość page z zmiennej get, i dopiero po przypisaniu sprawdzasz czy nie jest pusty/istnieje. A to powinieneś zrobić w pierwszej kolejności.. I taki kod może wyglądać mniej więcej tak:

[PHP] pobierz, plaintext 
  1. if(!empty($_GET['page']))
  2. {
  3.     $page = '/pages/'.basename($_GET['page']).'.php';
  4.  
  5.     if(file_exists($page))
  6.     {
  7.         require $page;
  8.     } else
  9.     {
  10.         // jakis komunikat ze strona nie istnieje
  11.         // przekierowanie na stronę błędu (404)
  12.         // czy co tam używasz u siebie
  13.     }
  14. } else
  15. {
  16.     require '/pages/index.php';
  17.  
  18.     // strona główna
  19. }
[PHP] pobierz, plaintext


W ten sposób nie musisz używać regexpów, masz możliwość powiadomienia o błędnym adresie. A co do sql injection, jest na to wiele sposobów, a najbardziej skutecznym IMO jest podpinanie zapytań w PDO. Wówczas nie trzeba (co nie znaczy że się nie powinno), się bawić w wyrażenia regularne i/lub filtrowanie wszystkich parametrów.

Ten post edytował by_ikar 6.03.2012, 10:22:03
Go to the top of the page
+Quote Post

Posty w temacie
- desavil   [PHP] include z $_GET   6.03.2012, 08:51:23
- - viking   Tylko widzisz, zawsze zostaje pytanie czy dobrze n...   6.03.2012, 08:57:00
- - desavil   Tak, ale raczej filtrowanie preg_match'em + go...   6.03.2012, 09:00:17
- - by_ikar   A po co do tego regexp? Wystarczy zabronić takiemu...   6.03.2012, 10:21:05

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 11.10.2025 - 23:15
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn