Wysywalnie formularza, pliku bezpieczenstwo, Wysywalnie formularza, pliku bezpieczenstwo Opcje

[bigos1995-95]

Witam, napisałem skrypt który obsługuje błedy i dodaje informacje do bazy danych a nastepnie na innej stronie informacje sa odczytywane. Chciałbym was zapytać jak oceniacie mój skrypt i czego w nim brakuje.

Oczywiście brakuje tutaj obslugi błedów co do JS,PHP itd jak mam sformatować zmienne aby nie formatowały kodu JS, PHP itd


Dodawanie informacji do bazy danych

[PHP] pobierz, plaintext 
if (isset($_POST['przycisk'])) {
 
//Tworzymy krótkie nazwy zmiennych
 $nazwaskryptu = $_POST['nazwaskryptu'];
 $profesja = $_POST['profesja'];
 $nazwapoziom = $_POST['nazwapoziom'];
 $komentarz = $_POST['komentarz'];
 $miasto = $_POST['miasto'];
 $jaki_bot = $_POST['jaki_bot'];
 $plikuzytkownika = $_FILES['plikuzytkownika'];
 $skrypter = $_POST['skrypter'];
 
 //Sklejanie zmiennych
 $danatabela = $jaki_bot . $miasto;
 
    //lokalizacja pliku
 $lokalizacja = 'wyslane/'.$_FILES['plikuzytkownika']['name'];
 
 if(strlen($lokalizacja) > 50) {
    echo 'Dodawany plik nie może mieć nazwy dłuższej niż 50 znaków';
	exit;
 }
 
   // tworzenie zmiennej nazwy pliku
 $nazwapliku = $_FILES['plikuzytkownika']['name'];
 
 // Sprawdzanie, czy wszystkie dane zostały wpisane
     if(!$nazwaskryptu || !$nazwapoziom || !$komentarz || $miasto == "brak" || $jaki_bot == "pusty" || $profesja == "brak" || !$plikuzytkownika) {
	     echo 'Nie podałeś wszystkich danych';
         exit;
     } 
 
  // Sprawdzenie, czy przy próbie wysłania pliky wystąpił błąd
  if ($_FILES['plikuzytkownika']['error'] > 0)
  {
    echo 'Problem: ';
    switch ($_FILES['plikuzytkownika']['error'])
    {
      case 1: echo 'Rozmiar pliku przekroczył wartość upload_max_filesize'; break;
      case 2: echo 'Rozmiar pliku przekroczył wartość max_file_size'; break;
      case 3: echo 'Plik wysłany tylko częściowo'; break;
      case 4: echo 'Nie wysłano żadnego pliku'; break;
      case 6: echo 'Nie można wysłać pliku: Nie wskazano katalogu tymczasowego.'; break;
      case 7: echo 'Wysłane pliku nie powiodło się: Nie zapisano pliku na dysku.'; break;
    }
    exit;
  }
 
  // sprawdzanie czy pole POZIOM zawiera same cyfry  
  if(!ctype_digit($nazwapoziom)) {
    echo 'Pole "Podaj poziom" musi zawierać same cyfry';
	exit;
	}
	//sprawdzanie czy plik o podanej nazwie istnieje w katalogu
	$istnieje = file_exists($lokalizacja);
	  if($istnieje) {
	    echo 'Plik o nazwie <font color="#00FF00">'.$nazwapliku.'</font> istnieje już w katalogu, zmień nazwę pliku i spróbuj ponownie.';
		exit;
	  }
 
 
  //formatowanie zmiennych przed włożeniem do bazy danych
  if(!get_magic_quotes_gpc()) {
    $nazwaskryptu = mysql_escape_string($nazwaskryptu);
	$profesja = mysql_escape_string($profesja);
    $nazwapoziom = doubleval($nazwapoziom);
    $komentarz = mysql_escape_string($komentarz);
    $miasto = mysql_escape_string($miasto);
    $jaki_bot = mysql_escape_string($jaki_bot);
	$skrypter = mysql_escape_string($skrypter);
    }
 
   //laczenie z baza danych i dodawanie zapytania
@ $db = new mysqli('xxxxxxxx', 'xxxxxxxx', 'xxxxxxx', 'xxxxxxxx');
 
 
   if(mysqli_connect_errno()) {
       echo 'Blad: Polaczenie z baza danych nie powiodlo sie';
   }
  $zapytanie = "insert into $danatabela values (NULL, '".$profesja."', '".$nazwaskryptu."', '".$nazwapoziom."', '".$komentarz."', '".$skrypter."', '".$lokalizacja."',
                '".$lokalizacja."') ";
  $wynik = $db->query($zapytanie);
  if(!$wynik) {
    echo "Wystąpił błąd podczas zapisywania danych";
	exit;
	}
	$db->close();               
 
 
// umieszczenie pliku w pożądanej lokalizacji
 
  if (is_uploaded_file($_FILES['plikuzytkownika']['tmp_name']))
  {
     if (!move_uploaded_file($_FILES['plikuzytkownika']['tmp_name'], $lokalizacja))
     {
        echo 'Problem: Plik nie może być skopiowany do katalogu';
        exit;
     }
  }
  else
  {
    echo 'Problem: możliwy atak podczas wysyłania pliku. Nazwa pliku: ';
    echo $_FILES['plikuzytkownika']['name'];
    exit;
  }
 
  echo 'Plik został wysłany<br><br>';
  }
[PHP] pobierz, plaintext 

Odczytywanie informacji

[PHP] pobierz, plaintext 
@ $db = new mysqli('xxxxx', 'xxxxxx', 'xxxxxxx', 'xxxxxxxxx');
 
if(mysqli_connect_errno()) {
   echo 'Blad: Polaczenie z baza danych nie powiodlo sie';
   }
  $zapytanie = "select * from $tabela order by profesja";
  $wynik = $db->query($zapytanie);
 
  $ile_znalezionych = $wynik->num_rows;
 
  for($i=0; $i <$ile_znalezionych; $i++) {
      $wiersz = $wynik->fetch_assoc();
	  echo "<tr>";
	  echo '<td width="50" bgcolor="#00FF00"><font size="5">';
	  echo $l = $i + 1;
	  $numerrek = stripslashes($wiersz['numer']); // numer rekordu w bazie danych nie usuwac tego
	  echo '</font></td>';	  
	  echo '<td width="55" bgcolor="#C0C0C0">';
	  echo stripslashes($wiersz['profesja']);
	  echo '</td>';	  
	  echo '<td width="100" bgcolor="#993333">';
	  echo stripslashes($wiersz['nazwa']);
	  echo '</td>';
	  echo '<td width="50" bgcolor="#00FFFF">';
	  echo stripslashes($wiersz['poziom']);
	  echo '</td>';	  
	  echo '<td width="570" bgcolor="#663399">';
	  echo stripslashes($wiersz['opis']);
	  echo '</td>';	  
	  echo '<td width="55" bgcolor="#99ccff">';
	  echo stripslashes($wiersz['skrypter']);
	  echo '</td>';	 	  
	  echo '<td width="100" bgcolor="#99ff99">';
	  $infpodg = stripslashes($wiersz['podglad']);
	  echo '<a href="podglad.php?lokalizacja='.$infpodg.'">Zobacz</a>';
	  echo '</td>';
	  echo '<td width="100" bgcolor="#ccff33">';
	  $infpobi = stripslashes($wiersz['pobierz']);
	  echo '<a href="pobierz.php?skad='.$infpobi.'">Pobierz</a>';
	  echo '</td>';
	    if(isset($_SESSION['prawid_uzyt']))
        {
	  echo '<td width="10">';
	  echo '<a href="usunskr.php?numerskr='.$numerrek.'&nazwatab='.$tabela.'&sciezka='.$infpodg.'">X</a>';
	  echo '</td>';
	    }
	  echo "</tr>";
	  }	  	  		  
  $wynik->free();
  $db->close();
[PHP] pobierz, plaintext 

[nospor]

1)
$numerrek = stripslashes($wiersz['numer']);
Po co te stripslashes?


2)
if(strlen($lokalizacja) > 50) {
echo 'Dodawany plik nie może mieć nazwy dłuższej niż 50 znaków';
exit;
}

I teraz sobie pomysl - masz do wypełnienia formularz, wypełniasz go pół godziny i klikasz ZAPISZ. A na ekranie co? A na ekranie komunikat, że jedno pole ma za dużo znaków. A teraz co? A teraz znowu musisz przez pół godziny wypełniać formularz i modlić się, by tym razem nie było żadnego błędu bo znowu wszystko co wprowadziłeś szlag trafi...

[bigos1995-95]

1)stripslashes po to zeby sprowadzic tekst dalej do normalnej formy jak przed dodaniem do bazy danych uzylem funkcji mysql_escape_string

2)

[PHP] pobierz, plaintext 
if(strlen($lokalizacja) > 50) {
echo 'Dodawany plik nie może mieć nazwy dłuższej niż 50 znaków';
exit;
}
[PHP] pobierz, plaintext 

to muszę miec bo mam miejsce tylko na 50 znakow w bazie danych

W jaki sposób mam zrobić aby wyświetlalo komunikat a nie usuwało wszystkich wprowadzonych danych??

I co z tym filtrowaniem przed JS?

[Dejmien_85]

W jaki sposób mam zrobić aby wyświetlalo komunikat a nie usuwało wszystkich wprowadzonych danych??

Najprostsze co mi przychodzi do głowy, to "Say hello to HTML!". ; )

Możesz cofnąć się o jeden krok do tyłu i mieć pewność, że POSTEM przejdzie maksymalnie 50 znaków. "maxlenght" to jedno z rozwiązań, ma jednak jeden błąd, ucina wklejany tekst (jeśli jest dłuższy niż określona długość), tak więc niepełnosprytny internauta może tego nawet nie zauważyć (gdy obetnie mu część nazwy pliku).

Możesz się wspomóc "placeholderem" (HTML5), który podkreśli ile znaków ma być (w wypełnianym polu wyświetla tekst, np. maksymalna długość 50 znaków), albo za pomocą "pattern" (HTML5) opiszesz nazwę pliku przy pomocy wyrażeń regularnych (przykładowo upewniając się, że ostatnie cztery znaczki to "kropka_literka_literka_literka").

Powyższe działania dadzą Ci gwarancję, że więcej niż 50 znaków w $lokalizacja nie znajdziesz (jedynie jaskiniowcy używający IE 8 i starszych wersji mogą przez to przejść - ale wtedy atakuj ich JS). Walidację formularzy można także przeprowadzić za pomocą JS - wtedy można nawet wyświetlić jakiś komunikat.

Co do wyświetlania komunikatu w PHP - po wciśnięci "submit" i po odpaleniu skryptu PHP do formularza można powiedzieć chyba tylko "goodbye my beloved friend!" - a jak się opuści formularz, to później trzeba jakieś akrobacje przechodzić, aby te dane wróciły (w sumie możesz w pliku z formularzem dorzucić trochę skryptu PHP, który przechwytuje to co wraca ze skryptu dodawania info do bazy danych gdy $lokalizacja > 50, tj. w linijce nr 21. zamiast "exit" robisz powrót do formularza i zwracasz dane przy okazji wyświetlając komunikat).

Ogólnie do sprawdzania formularzy bardzo dobrze nadaje się HTML i JS - odsieją większość błędów, a jak ktoś używa IE 8 i later, to niech wypełnia pola drugi raz... w formularzu możesz dodać "jeśli masz IE 8 to będziesz drugi raz wpisywał dane gdy coś pójdzie nie tak - ściągnij sobie prawdziwą wyszukiwarkę!" ; >

To oczywiście tylko moje przemyślenia na szybko - na tym forum są świetni programiści, tak więc na pewno ktoś wpadnie na lepszy pomysł.

Ten post edytował Dejmien_85 18.05.2013, 00:55:44

[nospor]

ad1) Wiem że uzyles mysql_escape_string. Ale to sluzy nie rozwaleniu zapytania a nie dodawaniu dodatkowych slashy ktore potem ci się niby wyświetlają. Stripslashes jest zbedne. A jesli u ciebie jest niezbędne, znaczy że na serwerze masz włączone MAGIC_QUOTES - wyłącz to

ad2) Normalnie. Nie rob EXIT po bledzie, tylko wyswietlaj blad, ale też wyswietlaj formularz gdy jest blad z danymi, które już ktos wprowadzil

[bigos1995-95]

Dobrze, tutaj to rozumiem, tak jak mówisz dorzuce trochę kodu PHP do formularza który będzie zapobiegal usunięcia tego co wprowadził user w razie błędu. Najbardziej jednak chodzi mi o tekst wprowadzany do zmiennej $komentarz, można do niego dodać kawałek kodu JavaScript który doda się do bazy danych a następnie wyświetli na następnej podstronie i rozwali mi stronkę (jakieś przekierowanie czy cos). Jak temu zapobiec aby wprowadzane dane były formatowane w taki sposób żeby nie było możliwe użycia przez jakiegoś szkodliwego użytkownika JavaScriptu or something else

<?php
$item = "Zak's Laptop";
$escaped_item = mysql_escape_string($item);
printf ("Łańcuch ze znakami unikowymi: %s\n", $escaped_item);
?>

Troszkę nie rozumiem, ta funkcja jak widać wstawia znaki ukosnika przed apostrofami, i ja tekst w takiej formie wrzucam do bazy danych (ochrona przed SQL injection tak) a gdy później te dane z bazy danych chce z powrotem wyświetlić to już nie chce tych ukosnikow i używam striplashes żeby te ukosniki usunąć albo tak jak mówisz nie podejmuje żadnego działania w tym kierunku jeśli jest ustawione magic_quotes

Popraw mnie jeśli się mylę

[nospor]

$item = "Zak's Laptop";
$escaped_item = mysql_escape_string($item);
printf ("Łańcuch ze znakami unikowymi: %s\n", $escaped_item);

Kurcze, ale ty nie wyświetlaj sobie tego co robi mysql_escape_string - ta funkcja robi tak, by było dobrze przy wkładaniu do bazy. Ty nie patrz ze ona dodaje ukosniki, bo ona ma dodawać ale to tylko dla bazy dodaje. Jak z bazy pobierzesz dane to one już tych ukośników mieć nie będą..... No chyba że masz włączone MAGIC_QUOTES - to wtedy masz podwojnie ukosniki robione i one jak pobierzesz z bazy to będą. Dlatego ci mowie, że masz wyłączyć MAGIC_QUOTES jeśli masz włączone i już potem żadnych stripslashes nie używaj.
No już jaśniej się tego nie da napisać.


Co do kodu js, to jeśli nie pozwalasz by ktokolwiek ci wkladał jakieś kod html/js to przed wyswietlanieam danych używaj htmlspecialchars() - wowczas nawet jak ktoś ci wstawi js to nic ci nie zrobi.

[bigos1995-95]

Dobra czaje dzięki , jakby ktoś miał jeszcze propozycje co do bezpieczeństwa kodu proszę pisać, będę wdzięczny