[PHP] Bezpieczne przekierowanie przez GET Opcje

[reyne]

Witam
Napisałem skrypt go.php który wywoływany jest z hiperłączy na mojej stronie w postaci:

go.php?url=http://adrestrony.pl

np:

<a href="go.php?http://gry.pl">strona z grami</a>

tak wygląda kod skryptu

[PHP] pobierz, plaintext 
$go = $_GET['url'];
 if(isset($go)) {
        // w tabeli entries znajduje sie baza linkow
	$give = mysql_query("UPDATE `entries` SET `entry_clicks`=`entry_clicks`+'1' WHERE `entry_link`='".$go."'");
 
 
    header("Location: ".$go."");
 
 }
[PHP] pobierz, plaintext 

chodzi o to że skrypt dodaje do bazy kliknięcia w dany link, następnie przekierowuje użytkownika pod dany adres ze zmiennej get - URL.

Wszystko działa, problem pojawia się, kiedy w adresie ze zmiennej $_GET['url'] znajduje się np znak &, wtedy skrypt wariuje, bo jak się domyślam dopisuje to adres do skryptu go.php zamiast przekierowywać.

Pytanie: Jak zrobić żeby to działało poprawnie i bezpiecznie?

[CuteOne]

1. wiesz jak łatwo zrobić na tym skrypcie SQL Injection..?
2. poczytaj o base64

[b4rt3kk]

Utnij wszystko co jest zgodne ze wzorcem:

[PHP] pobierz, plaintext 
$url = preg_replace('/?[a-zA-Z0-9\&\=]+/', '', $url);
[PHP] pobierz, plaintext 

[reyne]

Domyślam się, że nie jest to bezpieczne dlatego proszę o pomoc, właśnie nie chciałbym kodować adresu, chciałbym żeby użytkownik widział link do jakiego się kieruje, czy jest taka możliwość żeby to było w ten sposób, do tego bezpieczne?

Co do

[PHP] pobierz, plaintext 
$url = preg_replace('/?[a-zA-Z0-9\&\=]+/', '', $url);
[PHP] pobierz, plaintext 

nie przejdzie ponieważ usunie wtedy z docelowego adresu znak &, który jest potrzebny (inaczej wywoływana strona się nie otworzy)

Ten post edytował reyne 6.11.2012, 18:44:58

[b4rt3kk]

Domyślam się, że nie jest to bezpieczne dlatego proszę o pomoc, właśnie nie chciałbym kodować adresu, chciałbym żeby użytkownik widział link do jakiego się kieruje, czy jest taka możliwość żeby to było w ten sposób, do tego bezpieczne?

Co do

[PHP] pobierz, plaintext 
$url = preg_replace('/?[a-zA-Z0-9\&\=]+/', '', $url);
[PHP] pobierz, plaintext 

nie przejdzie ponieważ usunie wtedy z docelowego adresu znak &, który jest potrzebny (inaczej wywoływana strona się nie otworzy)

Nie przesadziłeś tutaj z cudzysłowami?

[PHP] pobierz, plaintext 
header("Location: ".$go."");
[PHP] pobierz, plaintext 

a jeśli chodzi o bezpieczeństwo, to filtruj dokładnie dane wpisywane przez użytkownika, najlepiej zastosuj preg_match, co daje pewne zabezpieczenie. Musisz mieć absolutną pewność przed dodaniem czegoś do bazy, że jest to wartość, której oczekujesz, w tym przypadku adres www.

[redeemer]

Takiego przekierowania w ogóle się nie powinno robić. https://www.owasp.org/index.php/Open_redirect

[reyne]

czyli nie da się zrobić tego bez filtracji?

[sowiq]

Zrobić się da.

Inna sprawa, że jeśli chcesz mieć w miarę zabezpieczoną aplikację, to nie możesz zostawić żadnych informacji przychodzących od usera bez filtrowania/walidacji. Nieważne czy to dane z GET, POST, COOKIES, nagłówków czy czegokolwiek innego.

[edit]
Odpowiadając na wcześniejsze pytanie - podawaj adres wyescape'owany funkcją urlencode.

Ten post edytował sowiq 6.11.2012, 19:03:07

[reyne]

Ok dzięki Panowie