Drukowana wersja tematu

Napisany przez: !*! 8.09.2008, 05:02:25

Przesyłam dane przez GET, zwykła wyszukiwarka input... Jak przefiltorwać te dane? Gdy wpisze coś takiego:

[HTML] pobierz, plaintext 
xczxczc<http://december.com/html/4/element/div.html class="zxczxcx">lll</http://december.com/html/4/element/div.html>
[HTML] pobierz, plaintext 

strona jest rozwalana...

kombinowałem nawet z czymś takim ale nic to nie daje..

[PHP] pobierz, plaintext 
<?php
$wynik = http://www.php.net/strip_tags(http://www.php.net/stripslashes(http://www.php.net/htmlspecialchars(http://www.php.net/trim(http://www.php.net/addslashes($_GET['w2'])))));
?>
[PHP] pobierz, plaintext 

Napisany przez: TomASS 8.09.2008, 07:05:01

[PHP] pobierz, plaintext 
<?php
$str = "A 'quote' is <b>bold</b>";
 
// Output: A 'quote' is &lt;b&gt;bold&lt;/b&gt;
http://www.php.net/echo http://www.php.net/htmlentities($str);
 
// Output: A 'quote' is &lt;b&gt;bold&lt;/b&gt;
http://www.php.net/echo http://www.php.net/htmlentities($str, ENT_QUOTES);
?>
[PHP] pobierz, plaintext 

http://pl2.php.net/manual/pl/function.htmlentities.php

Napisany przez: !*! 8.09.2008, 11:30:34

Czytałem to, jednak problemu nie rozwiązuje:

wpisuje w input:

[HTML] pobierz, plaintext 
xczxczc<http://december.com/html/4/element/div.html class="zxczxcx">lll</http://december.com/html/4/element/div.html>
[HTML] pobierz, plaintext 

filtr:

[PHP] pobierz, plaintext 
<?php
$wynik = $_GET['w2'];
$zm = http://www.php.net/strip_tags($wynik);
 
http://www.php.net/echo http://www.php.net/htmlentities($zm);
http://www.php.net/echo http://www.php.net/htmlentities($zm  , ENT_QUOTES);
 
 
http://www.php.net/echo ''.$zm.'';
?>
[PHP] pobierz, plaintext 

efekt echo:

[HTML] pobierz, plaintext 
111133331111333311113333
[HTML] pobierz, plaintext 

formularz wygląda tak:

[PHP] pobierz, plaintext 
<form action="" method="get">
        <fieldset>
 
        <input type="hidden" name="xxc" value="wgo" />
        <input type="text" class="fszukaj"  name="w2" value="<?php http://www.php.net/echo ''.$_GET['w2'].''; ?>" />
        <input type="hidden" name="mieszkania" value="<?php http://www.php.net/echo ''.$_GET['mieszkania'].''; ?>" />
 
 
    </fieldset>
</form>
[PHP] pobierz, plaintext 

ale strona jest rozwala mimo wszytko, ponieważ dane w samym input nie są filtrowane tzn. niektóre znaki html wyskakują poza input.

Napisany przez: TomASS 8.09.2008, 14:26:53

Dlaczego tutaj nie użyłeś htmlentities:

[PHP] pobierz, plaintext 
<input type="text" class="fszukaj"  name="w2" value="<?php http://www.php.net/echo ''.$_GET['w2'].''; ?>" />
[PHP] pobierz, plaintext 

?
a to po co?:

[PHP] pobierz, plaintext 
<?php
$zm = http://www.php.net/strip_tags($wynik);
?>
[PHP] pobierz, plaintext 

Daj tak:

[PHP] pobierz, plaintext 
<form action="" method="get">
       <fieldset>
 
       <input type="hidden" name="xxc" value="wgo" />
       <input type="text" class="fszukaj"  name="w2" value="<?php http://www.php.net/echo http://www.php.net/htmlentities($_GET['w2']); ?>" />
       <input type="hidden" name="mieszkania" value="<?php http://www.php.net/echo http://www.php.net/htmlentities($_GET['mieszkania']); ?>" />
 
 
   </fieldset>
</form>
<?php
http://www.php.net/echo http://www.php.net/htmlentities($_GET['w2']);
?>
[PHP] pobierz, plaintext 

i pięknie działa! nic się nie rozjeżdża

Napisany przez: !*! 8.09.2008, 15:19:02

Dla pewności umieśilem to w fukncji:

[PHP] pobierz, plaintext 
<?php
function zabezpieczget($danezget)
{
return http://www.php.net/mysql_real_escape_string(http://www.php.net/htmlspecialchars(http://www.php.net/strip_tags(http://www.php.net/addslashes($danezget))));
}
?>
[PHP] pobierz, plaintext 

teraz tylko musze przy kazdym GET dodać zabezpiecznieget... trochę roboty mnie czeka...

ps. taka filtracja dobrze się nadaje też do post i wysyłaniu danych do bazy? Czy jeszcze coś dodać?

Napisany przez: Shili 8.09.2008, 15:24:28

Załóżmy, że chcę wyszukać słowa z apostrofem.

Sprawdź, co Ci zwróci to szukanie (stawiam na to, że nic, jeśli oczywiście masz takie słowa w bazie). Czemu?
Znak ucieczki doda: addslashes i mysql_real...

Zdecyduj się na jedną z nich, dwie to nadmiar uniemożliwiający poprawne działanie wyszukiwarki. Swoją drogą podpowiem, że lepiej mysql_...

Napisany przez: TomASS 8.09.2008, 15:34:03

Wcale nie musisz wszędzie dawać html....

Możesz dać na początku każdego pliku:

[PHP] pobierz, plaintext 
<?
if(http://www.php.net/is_array($_GET)){
    foreach ($_GET as $key => $value) {
        $_GET[$key]=http://www.php.net/htmlentities($value);
    }
}
?>
[PHP] pobierz, plaintext 

lub jak wolisz:

[PHP] pobierz, plaintext 
<?
function zabezpieczget($danezget)
{
return http://www.php.net/mysql_real_escape_string(http://www.php.net/htmlspecialchars(http://www.php.net/strip_tags($danezget)));
}
 
if(http://www.php.net/is_array($_GET)){
    foreach ($_GET as $key => $value) {
        $_GET[$key]=zabezpieczget($value);
    }
}
?>
[PHP] pobierz, plaintext 

czyli:

[PHP] pobierz, plaintext 
<?
if(http://www.php.net/is_array($_GET)){
    foreach ($_GET as $key => $value) {
        $_GET[$key]=http://www.php.net/htmlentities($value);
    }
}
?>
<form action="" method="get">
       <fieldset>
 
       <input type="hidden" name="xxc" value="wgo" />
       <input type="text" class="fszukaj"  name="w2" value="<?php http://www.php.net/echo $_GET['w2']; ?>" />
       <input type="hidden" name="mieszkania" value="<?php http://www.php.net/echo $_GET['mieszkania']; ?>" />
 
 
   </fieldset>
</form>
<?php
http://www.php.net/echo $_GET['w2'];
?>
[PHP] pobierz, plaintext 

i nie musisz się martwić.

Napisany przez: !*! 8.09.2008, 15:38:39

Shili - jeśli podam do wyszukania słowo "willa" jako:

zostanie ono zamienione na:



I zostanie bez problemu wyszukane... tylko pojawiają się \\\\\ w wyniku... Jak można to usunąć? heh zakręcone, dodanie \\ dla bezpieczeństwa, ale bląd w wyświetlaniu.. późniejszym po filtrowaniu

Napisany przez: Shili 8.09.2008, 19:44:11

Napisałam - wywal addslashes - mysql_real_escape_string jest lepsze, bo nie dość, że escapeuje znaki, które addslashes może ominąć, to w dodatku jest bezpośrednio przeznaczone do bazy mysql.

Napisany przez: !*! 8.09.2008, 22:25:55

Wywaliłem, efekt pozostał:

[PHP] pobierz, plaintext 
<?php
function zabezpieczget($danezget)
{
return http://www.php.net/mysql_real_escape_string(http://www.php.net/htmlspecialchars(http://www.php.net/strip_tags(http://www.php.net/stripslashes($danezget))));
}
?>
[PHP] pobierz, plaintext 

edit dodałem stripslashes, teraz jest dobrze?

Napisany przez: Shili 8.09.2008, 22:40:11

Nie wiem, to zależy co widzisz.

Jeśli masz włączone magic quotes, to pewnie tak

Napisany przez: !*! 9.09.2008, 06:26:28

Widzę.. złe rzeczy widze np. mogę wpisać:

i wyskoczy mi ze dwa takie... można się tego pozbyć? aby nie było można robić spacji, apostrofów itp.? Nie są mi one potrzebne do szczęścia;)

Napisany przez: Shili 9.09.2008, 08:42:51

Widzisz już takie rzeczy po dodaniu do bazy, czy jeszcze przed?

Jeśli przed, to wszystko jest dobrze, jeśli w bazie się coś takiego pojawia, to jest źle. Także sprecyzuj gdzie widzisz podwójny / i pomyślimy, względnie się wytłumaczy czemu tak jest.

Napisany przez: !*! 9.09.2008, 09:19:37

Przed dodaniem, w zasadzie w każdym polu tak jest, baza jest "czysta". \\ pojawia sie po zatwierdzeniu formularza, oczywiście nie przejdze, bo blokuje go filtr, ale jeśli wpiszę:

jest jeden myk z tym, na stronie mam inny include z linkami... jeśli chce wyszukać poprzez właśnie "\\nazwa\\" i kliknę na inny link, w adresie strony pojawia sie taki ciąg znaków



niby ok, bo tak przeglądarka widzi taki adres, ale... gdy kliknę tak z parę razy ta zmienna się klonuje



po kilku takich klikach strona jest blokowana, riques-url/

Napisany przez: do 9.09.2008, 09:24:34

Wysyłaj dane postem to uniknieiesz takich, problemów ze slashami.

Co do twojego pytania dodaj w <form action="" nazwe pliku do którego jest wysyłany formularz

Napisany przez: !*! 9.09.2008, 15:40:31

Mylisz się, po zmianie na post i wpisaniu \\ nadal pojawia się \\\\ ... poza tym get w przypadku wyszukiwarki jest lepszym rozwiązaniem.

Napisany przez: dr_bonzo 9.09.2008, 15:51:18

Kurde,
do bazy wstawiasz dane przerzucone TYLKO przez mysql_real_escape()
do wyswietlania uzywasz htmlspecialchars(), i tyle [nie wazne skad dane pochodza].

Napisany przez: !*! 9.09.2008, 16:06:13

a ok.. dodatkowo idą dane przez filtr:

[PHP] pobierz, plaintext 
<?php
$nazwa = http://www.php.net/stripslashes($nazwa);
$nazwa= http://www.php.net/ereg_replace('[^a-zA-Z0-9]', '', $nazwa);
?>
[PHP] pobierz, plaintext 

teraz żadne znaczki nie powinny się przedostać?

Napisany przez: kazag 9.09.2008, 17:20:16

Czy nie jest tak, że mysql sam dodaje slashe podczas przesyłania danych do bazy? I htmlspecialchars() powinno już wystarczyć (ewentualnie możesz sprawdzać typ danych, jeśli np. mają być tylko liczbowe, lub ten typ wymuszać). Ja osobiście dodaje jeszcze strip_tags i imho starczy.

edit: i staram się używać POST kiedy tylko jest to możliwe, żeby mi ktoś głupich linków nie konstruował.

Napisany przez: !*! 9.09.2008, 18:06:45

kazag - a jak zrobiłbyś w POST wyszukiwarkę ze stronicowaniem + 4 includy na stronie z czego każdy ma swoje stronicowanie? jest to conajmniej kłopotliwe...

Napisany przez: Shili 10.09.2008, 09:46:10

Nie. Gdyby tak było, to nie byłoby również mowy o czymś takim jak sql injection.

Jeśli jest włączona dyrektywa magic quotes, to faktycznie slashe są dodawane - ale nie potrafią obsłużyć wszystkich znaków specjalnych. Dlatego o wiele lepsze jest i tak mysql_real_escape_string();