[PHP][MYSQL]Filtrowanie danych, Czy dobrze użyte? Opcje

[ArekJ]

Witam,

mam pytanie, czy dobrze zastosowałem filtrowanie danych w tym skrypcie(błędów nie wywala, ale nie wiem jak sprawdzić czy filtruje). A oto kod:

[PHP] pobierz, plaintext 
<?php
els:
 
dbConnect('xxx');
        
$login=htmlspecialchars($_POST['login']);
$haslo=htmlspecialchars($_POST['haslo']);
$email=htmlspecialchars($_POST['email']);
 
 
$login=strip_tags($_POST['login']);
$haslo=strip_tags($_POST['haslo']);
$email=strip_tags($_POST['email']);
 
        
if (!check_email($_POST['email']) || $_POST['login']=='' || $_POST['haslo']=='' || $_POST['email']=='') {
error('Błąd podczas wypełniania formularzu! Popraw go i spróbuj ponownie. Możliwe błęd:    \n'.'-puste pole,\n'.'-błędny e-mail.');
}
   
 
$sql = 'SELECT COUNT(*) FROM uzytkownik WHERE login = "'.$_POST['login'].'"';
$result = mysql_query($sql);
if (!$result) {
error('Błąd w zapytaniu SQL');
}
if (@mysql_result($result,0,0)>0) {
error('Wybrany login jest zajęty. \n'.
'Proszę wpisać inny login. ');
}
 
$sql = 'INSERT INTO uzytkownik SET
login = "'.$_POST['login'].'",
haslo = md5("'.$_POST['haslo'].'"), 
email = "'.$_POST['email'].'"';
if (!mysql_query($sql)) error('Błąd w zapytaniu SQL');
 
echo('<HTML> 
<HEAD> 
<meta http-equiv="Content-Type" content="text/html;charset=UTF-8" />
<TITLE>Rejestracja zakończona</TITLE>
<STYLE type=\"text/css\">
<!--
BODY, { font: 8pt; font-famil: Verdana, Arial; text-decoratio: none }
-->
</STYLE>
</HEAD> 
<BODY>
<P><B>Rejestracja zakończona pomyślnie!</B></P>
<P>Logi: <B>'.$_POST['login'].'</B><BR>
Hasło: <B>'.$_POST['haslo'].'</B></P>
');
 
endif
?>
[PHP] pobierz, plaintext 

I mam jeszcze pytanie o inne metody zabezpieczania i o wskazówki jak je zastosować

[b4x]

Najprościej: mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual ;] czyli np.

[PHP] pobierz, plaintext 
<?php
mysql_query ('SELECT * FROM `users` WHERE `login` = "'.mysql_real_escape_string($logn).'"');
?>
[PHP] pobierz, plaintext 

htmlspecialchars + strip_tags - nie zabezpieczy Cię przed SQL Inject bo spróbuj np. do zapytania zarzucić: '
- dlatego polecam mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual


Po 2 gie, jak definiujesz zmienne np:

[PHP] pobierz, plaintext 
<?php
$login=htmlspecialchars($_POST['login']); // o to mi chodzi.
$sql = 'SELECT COUNT(*) FROM uzytkownik WHERE login = "'.$_POST['login'].'"';
?>
[PHP] pobierz, plaintext 

To spójrz - dane nieprzefiltrowane się dostaną, bo tylko zmienna $login jest filtrowana. A Ty w zapytaniu do mysql odnosisz się do danych przesłanych w formularzu.

Poprawnie powinno wyglądać:

[PHP] pobierz, plaintext 
<?php
$sql = 'SELECT COUNT(*) FROM uzytkownik WHERE login = "'.mysql_real_escape_string($login).'"'; //&nbsp:P
?>
[PHP] pobierz, plaintext 

Ten post edytował b4x 17.09.2008, 15:33:44

[ArekJ]

A czemu tutaj:

[PHP] pobierz, plaintext 
<?php
$sql = 'SELECT COUNT(*) FROM uzytkownik WHERE login = "'.mysql_real_escape_string($login).'"'; //&nbsp:P
?>
[PHP] pobierz, plaintext 

jest filtrowana całość? Przecieź w skrypcie występuje tylko zmienna $login?

I po drugie rozumiem, źe mam usunąć:

[PHP] pobierz, plaintext 
<?php
$login=htmlspecialchars($_POST['login']);
$haslo=htmlspecialchars($_POST['haslo']);
$email=htmlspecialchars($_POST['email']);
 
 
$login=strip_tags($_POST['login']);
$haslo=strip_tags($_POST['haslo']);
$email=strip_tags($_POST['email']);
?>
[PHP] pobierz, plaintext 

bo to nie zapewnia mi bezpieczeństwa?

[b4x]

Ja bym to tak zrobił

[PHP] pobierz, plaintext 
<?php
 
    $login = htmlspecialchars(strip_tags($_POST['login']));
    $haslo = md5($_POST['haslo']);
    $email = htmlspecialchars(strip_tags($_POST['email']));
 
    if (!check_email($_POST['email']) || $_POST['login']=='' || $_POST['haslo']=='' || $_POST['email']=='') {
 
        error('Błąd podczas wypełniania formularzu! Popraw go i spróbuj ponownie. Możliwe bł&#281:    \n'.'-puste pole,\n'.'-błędny e-mail.');
 
    }
 
 
    $sql = 'SELECT COUNT(*) FROM uzytkownik WHERE login = "'.mysql_real_escape_string($login).'"';
 
    $result = mysql_query($sql);
 
        if (!$result) {
 
            error('Błąd w zapytaniu SQL');
 
        }
    
        if (@mysql_result($result,0,0)>0) {
            error('Wybrany login jest zajęty. \n'.
            'Proszę wpisać inny login. ');
        }
 
 
        $sql = 'INSERT INTO uzytkownik SET login = "'.mysql_real_escape($login).'", haslo = "'.$haslo.'", email = "'.mysql_real_escape_string($email).'"';
 
            if (!mysql_query($sql)) error('Błąd w zapytaniu SQL');
    
            echo('<HTML>
                <HEAD>
                <meta http-equiv="Content-Type" content="text/html;charset=UTF-8" />
                <TITLE>Rejestracja zakończona</TITLE>
                <STYLE type=\"text/css\">
                <!--
                BODY, { fo: 8pt; font-famil: Verdana, Arial; text-decoratio: none }
                -->
                </STYLE>
                </HEAD>
                <BODY>
                <P><B>Rejestracja zakończona pomyślnie!</B></P>
                <P>Lo: <B>'.$login.'</B><BR>
                Hasło: <B>'.$haslo.'</B></P>
            ');
 
?>
[PHP] pobierz, plaintext 

;]

Ten post edytował b4x 17.09.2008, 15:55:36

[ArekJ]

Dobra jak wrócę do domu to sprawdze czy działa, ale mam nadzieję, źe tak. I jeszcze pytanie o inne formy zabezpieczania? I czy jak będę robił skrypt logoania to teź muszę zabezpieczać w ten sposób:

[PHP] pobierz, plaintext 
<?php
$login = htmlspecialchars(strip_tags($_POST['login']));
?>
[PHP] pobierz, plaintext 

[b4x]

"I jeszcze pytanie o inne formy zabezpieczania?" - to z zupełnością powinno wystarczyć

Możesz np. napisać sobie funkcję która ułatwi Ci życie

[PHP] pobierz, plaintext 
<?php
function filtruj($string) {
 
return htmlspecialchars(strip_tags($string));
 
}
?>
[PHP] pobierz, plaintext 

Wtedy np. wystarczyłoby :

[PHP] pobierz, plaintext 
<?php
$login = filtruj($_POST['login']);
?>
[PHP] pobierz, plaintext 

Ten post edytował b4x 17.09.2008, 16:02:12

[ArekJ]

I to samo muszę zastosować do maila?

[b4x]

Jeśli chcesz, to możesz. Ale widzę że do maila masz jakąś funkcję odpowiedzialną za jego sprawdzanie. (Czy jest poprawny.)

Czyli zapewne ta funkcja nie przyjmuje znaków specjalnych typu ^'% itd.

Więc wtedy maila nie musisz.


http://webmade.org/porady/bezpieczenstwo-p...on-xss-csrf.php


Poczytaj, może to Ci bardziej wszystko naświetli

[ArekJ]

A hasło też mam filtrować?

P.S. A z tej strony co podałeś to się dowiedziałem jakie funkcje odpowiadają za filtrowanie

EDIT:

Nie działa :/ Gdy daje

[PHP] pobierz, plaintext 
<?php
$login = htmlspecialchars(strip_tags($_POST['login']));
   $haslo = md5($_POST['haslo']);
   $email = htmlspecialchars(strip_tags($_POST['email']));
 
   if (!check_email($_POST['email']) || $_POST['login']=='' || $_POST['haslo']=='' || $_POST['email']=='') {
 
       error('Błąd podczas wypełniania formularzu! Popraw go i spróbuj ponownie. Możliwe bł&#28:    \n'.'-puste pole,\n'.'-błędny e-mail.');
 
   }
 
 
   $sql = 'SELECT COUNT(*) FROM uzytkownik WHERE login = "'.mysql_real_escape_string($login).'"';
 
   $result = mysql_query($sql);
 
       if (!$result) {
 
           error('Błąd w zapytaniu SQL');
 
       }
   
       if (@mysql_result($result,0,0)>0) {
           error('Wybrany login jest zajęty. \n'.
           'Proszę wpisać inny login. ');
       }
 
 
       $sql = 'INSERT INTO uzytkownik SET login = "'.mysql_real_escape($login).'", haslo = "'.$haslo.'", email = "'.mysql_real_escape_string($email).'"';
 
           if (!mysql_query($sql)) error('Błąd w zapytaniu SQL');
   
           echo('<HTML>
               <HEAD>
               <meta http-equiv="Content-Type" content="text/html;charset=UTF-8" />
               <TITLE>Rejestracja zakończona</TITLE>
               <STYLE type=\"text/css\">
               <!--
               BODY, { fo: 8pt; font-famil: Verdana, Arial; text-decoratio: none }
               -->
               </STYLE>
               </HEAD>
               <BODY>
               <P><B>Rejestracja zakończona pomyślnie!</B></P>
               <P>Lo: <B>'.$login.'</B><BR>
               Hasło: <B>'.$haslo.'</B></P>
           ');
?>
[PHP] pobierz, plaintext 

To wywala:

Kod

Fatal error: Call to undefined function mysql_real_escape() in /home/accounts_a/arekj/public_html/rejestracja.php on line 94

Jakieś pomysły?

Ten post edytował ArekJ 17.09.2008, 20:48:09

[morwo]

Przydałby się jeszcze kurs czytania angielskiego ze zrozumieniem

Kod

Fatal error: Call to undefined function mysql_real_escape() in /home/accounts_a/arekj/public_html/rejestracja.php on line 94

Pozwolicie, że przetłumacze "po swojemu", bo angielski mój nie najlepszy

Kod

Błąd krytyczny: Wywołano niezdefiniowaną funkcje mysql_real_escape() w /home/accounts_a/arekj/public_html/rejestracja.php w linii 94

Czaisz? Jesli sam nie napisałeś, to funkcja mysql_real_escape() nie istnieje. Koledzy wyżej pisali o funkcji mysql_real_escape_string()" title="Zobacz w manualu PHP" target="_manual, którą kilka razy zastosowałeś w wyżej wymienionym skrypcie.

Poza tym przeważnie używam htmlentities()" title="Zobacz w manualu PHP" target="_manual z odpowiednimi parametrami i z tego, co się orientuje równie dobrze mnie zabezpieczy przed SQLInjection, jak mysql_real_escape_string()" title="Zobacz w manualu PHP" target="_manual

Ten post edytował morwo 18.09.2008, 13:52:22

[ArekJ]

Dzięki, na tym poziomie to znam angielski, ale nie zauważyłem, że funkcja powinna się inaczej nazywać Proszę o zamknięcie tematu