[PHP] bezpieczeństwo, mysql_real_escape_string Opcje

[peter13135]

czytałem conieco w manualu o mysql_real_escape_string (nawet po polsku jest opis:))
jednak jako początkujący webmasjter, niebardzo to rozumiem, więc mam pytanie
czy poniższy skrypt jest bezpieczny??

[PHP] pobierz, plaintext 
<?
//formularz
//łączenie z bazą
// jeśli wypełniono dane w formularzu
 
$login=$_POST['login'];
$haslo=$_POST['haslo'];
$login=mysql_real_escape_string($login);
$haslo = mysql_real_escape_string($haslo)
 
 
  {
   $sql=mysql_query("select * from userzy where login='$login' and haslo='$haslo' ");
   }
?>
[PHP] pobierz, plaintext 

cały ten kod jest pisany "z palca", chce sie tylko dowiedzieć czy takie filtrowanie zmiennych jest bezpieczne, czy to wogóle oto chodzi

edit:// jeszcze jedno
czy "sprintf" to jest to samo co mysql_query?

Powód edycji: Poprawiłem tytuł tematu. /webdicepl

[bełdzio]

mysql_real_escape_string ma za zadanie uchronic przed SQL injection tak wiec wstepnie powyzszy kod jest ok, dlaczego wstepnie? bo dochodzi jeszcze kwestia filtrowania txt na wystepowanie znacznikow html

sprintf służy do formatowania stringa, mysql_query do wykonywania zapytan mySQL:)

[peter13135]

aha, czyli jak jeszcze te zmienne "przelece" przez htmlspecialchars to będdzie ok?

[pyro]

niom

[bełdzio]

aha, czyli jak jeszcze te zmienne "przelece" przez htmlspecialchars to będdzie ok?

tak ale w odpowiedni sposób zerknij tu -> http://www.beldzio.com/obsluga-html.freez

[peter13135]

dzięki za linka, ten artykuł rozjaśnił mi conieco sprawe
znalazłem tam takie coś

[PHP] pobierz, plaintext 
<?php
$zmienna = htmlspecialchars( strip_tags( $zmienna ), ENT_QUOTES, 'UTF-8' );
?>
[PHP] pobierz, plaintext 

problem w tym że mam strone na iso-8859-2 , więc ten kod ma wyglądać w ten sposób??

[PHP] pobierz, plaintext 
<?php
$zmienna = htmlspecialchars( strip_tags( $zmienna ), ENT_QUOTES, 'iso-8859-2');
?>
[PHP] pobierz, plaintext 

czy może wstarczy napisać poprostu takie coś

[PHP] pobierz, plaintext 
<?php
$zmienna = htmlspecialchars( strip_tags( $zmienna ), ENT_QUOTES, 'iso');
?>
[PHP] pobierz, plaintext 

i czy takie coś uchroni mnie zarówno przed html jak i xss?

[bełdzio]

jeśli korzystasz z iso to ostatni parametr mozesz pominac, a co do xss to dorzuc do tego strip_tags i powinno byc ok

[peter13135]

napisałem taką funkcje...

[PHP] pobierz, plaintext 
<?
function zabezpiecz($zmienna)
	{
	$zmienna = htmlspecialchars( strip_tags( $zmienna ), ENT_QUOTES);
	$zmienna = mysql_real_escape_string($zmienna);
	if( strpos( $zmienna, 'script' )) {exit;} 
	}
?>
[PHP] pobierz, plaintext 

czy jest ona poprawna?

[robos85]

ja używam tego:

[PHP] pobierz, plaintext 
<?php
function sqlesc ($content) {
  $content = (! get_magic_quotes_gpc ()) ? mysql_real_escape_string ($content) : $content;
  return $content;
}
?>
[PHP] pobierz, plaintext 

Czyli muszę do tego kodu dowalić htmlspecialchars" title="Zobacz w manualu PHP" target="_manual?

[Shili]

Jeśli nie zamierzasz tego nigdy wyświetlać na stronie, to nie. Jeśli zamierzasz, to jednak wypadałoby zabezpieczyć się przed xss.
Z tym że w przypadku magic quotes proponowałabym użyć stripslashes a następnie mysql_real_escape_string.

[peter13135]

Jeśli nie zamierzasz tego nigdy wyświetlać na stronie, to nie. Jeśli zamierzasz, to jednak wypadałoby zabezpieczyć się przed xss.
Z tym że w przypadku magic quotes proponowałabym użyć stripslashes a następnie mysql_real_escape_string.

a do kogo ta odpowiedź
ja mam zabezpieczenie i przed xss htmlspecialchars i mysql_real_escape_stroing

[robos85]

Jeśli nie zamierzasz tego nigdy wyświetlać na stronie, to nie. Jeśli zamierzasz, to jednak wypadałoby zabezpieczyć się przed xss.
Z tym że w przypadku magic quotes proponowałabym użyć stripslashes a następnie mysql_real_escape_string.

Tego kodu używam do filtracji np w logowaniu w pobieraniu loginu, lub w zapytaniach ...WHERE `id`='".sqlesc($_POST['id'])."'); ....
Do takich celów starczy?

[Shili]

@peter13135
Do @robos85.
Swoją drogą uważam, że jeśli chcesz użyć mysql_real_escape_string nie ma sensu używać ENT_QUOTES w htmlspecialchars.

@robos85
Myślę, że do takiego czegoś starczy spokojnie.

[robos85]

@robos85
Myślę, że do takiego czegoś starczy spokojnie.

a jeżeli chciałbym, aby ktoś dodawał mi do bazy tekst - i mógł zamieszczać tam znaczniki to taki kod wystarczy?

[PHP] pobierz, plaintext 
<?php
function sqlesc ($content) {
  $content = (! get_magic_quotes_gpc ()) ? mysql_real_escape_string (htmlspecialchars($content)) : $content;
  return $content;
}
?>
[PHP] pobierz, plaintext 

czy może w środku powinno być:

[PHP] pobierz, plaintext 
<?php
htmlspecialchars(mysql_real_escape_string ($content))
?>
[PHP] pobierz, plaintext 

?

[peter13135]

w takim razie czy mogłbyś przerobić moją funckje??
bo niewiem jak powinna wyglądać

[paziek]

@robos85:

[PHP] pobierz, plaintext 
<?php
function sqlesc ($content) {
  $content = (! get_magic_quotes_gpc ()) ? mysql_real_escape_string ($content) : $content;
  return htmlspecialchars($content);
}
?>
[PHP] pobierz, plaintext 

Przy magic_quotes też trzeba się zabepieczyc przed XSS.


@peter13135: Funkcja jest OK, ale sądzę, że nie ma sensu łączyć strip_tags() z htmlspecialchars() (w typ przypadpku), jako, że drugie zamienia tobie tagi <> na HTMLowe encje (? zwał jak zwał) i są wtedy one wyświetlane w formie tekstowej (tak jak na tym forum), więc żadne XSS nie ma wtedy prawa bytu.
strip_tags() używaj, jeśli chcesz usuwać tagi z wprowadzanego tekstu, zamiast je wyświetlać z htmlspecialchars(). Plus, dla strip_tags() możesz podać listę 'dozwolonych' tagów, np. <b>, <i> oraz <u> są dobrymi przykładami nieszkodliwych tagów.

Przykład:
Wysyłam komentarz o treści <script>alert('Shackowałem cię!');</script>
htmlspecialchars("<script>alert('Shackowałem cię!');</script>"); wyświetli <script>alert('Shackowałem cię!');</script>
strip_tags("<script>alert('Shackowałem cię!');</script>"); wyświetli alert('Shackowałem cię!');
Oba są niegroźne, ale wynik różny, prawda?

Ten post edytował paziek 11.08.2008, 13:59:24

[peter13135]

ymm, tak patrze na swój kod i widze coś takiego
[php]$zarejestruj=$_POST['zarejestruj'];
$login = htmlspecialchars($_POST['login']);
$haslo = htmlspecialchars($_POST['haslo']);
$email = htmlspecialchars($_POST['email']);
$gg = htmlspecialchars($_POST['gg']);
$www = htmlspecialchars($_POST['www']);
$skad = htmlspecialchars($_POST['skad']);
$zainteresowania = htmlspecialchars($_POST['zainteresowania']);
$plec = htmlspecialchars($_POST['plec']);
[/php

a czy niewystarzy dać htmlspecialchars($_POST) ?
(dodam że teraz to ja będe je filtrował swoją funkcją zabezpiecz(), ale mniejsza z tym)

[paziek]

a czy niewystarzy dać htmlspecialchars($_POST) ?

Nie, bo $_POST to tablica, a nie ciąg znaków.

Ale możesz zrobić coś podobnego przy zastosowaniu array_map http://pl.php.net/manual/pl/function.array-map.php

Ten post edytował paziek 11.08.2008, 14:23:02

[robos85]

A co z kolejnością 2ch funkcji - pisałem tutaj - która dobra?

[bełdzio]

1. zrezygnuj ze sprawdzania get_magic_quotes_gpc
2. mysql_real_escape_string (htmlspecialchars($content))