Niedozwolone znaki Opcje

[unw]

Witam. mam pewien problem.

Posiadam formularz, który zapisuje wyniki do bazy danych. Problem pojawia się gdy są dodawane znaki specjalne typu: & ( ) < > itd.

chciałbym zabezpieczyć mój skrypt przed atakami.

Mam zrobione tak:

[PHP] pobierz, plaintext 
$slowo=$_POST['slowo'];
 
$slowoz = strip_tags($slowo);
///$slowoz = mysql_real_escape_string($_POST['slowo']);
 
$ogonki = array("ę", "ó", "ą", "ś", "ł", "ż", "ź", "ć", "ń", "Ę", "Ó", "Ą", "Ś", "Ł", "Ż", "Ź", "Ć", "Ń", " ", "?");
$bez_ogonkow = array("e", "o", "a", "s", "l", "z", "z", "c", "n", "E", "O", "A", "S", "L", "Z", "Z", "C", "N", "-","");
 
$nazwa_nopolish=str_replace($ogonki, $bez_ogonkow, $slowoz);
 
$nopolish_small = strtolower($nazwa_nopolish); //zmiana na małe litery
 
$zapytanie="SELECT * FROM `$baza` WHERE `tagi` = '$slowoz'" or die(mysql_error());
 
$wynikkoncowy = mysql_query($zapytanie);
[PHP] pobierz, plaintext 

w jaki sposób kontrolować niedozwolone znaki?
Chodzi o to, gdy ktoś wpisze: treść #(*@)#

to nie doda tego do bazy tylko odrzuci

jak to zrobic?

[Pyton_000]

Ale ma Ci to odrzucić w sensie ma nie dodać tych znaków do bazy, czy ma dodać ale bezpiecznie, czy co?

[unw]

ma nie dodawać znaków specjalnych - jeżeli będzie przykładowo ala ma kota #(&*#*(&@!)_!) itd to usuwa znaki specjalne i dodaje ala ma kota samo, a jeżeli ktoś wpisze same znaki specjalne to ma odrzucić.

A może tak od początku.

Napisałem ala wyszukiwarkę tagów.

[PHP] pobierz, plaintext 
<?php
$_POST['slowo']=trim($_POST['slowo']);
 
 
if(empty($_POST['slowo']))
 
 
// funkcja sprawdza długość znaków i minimum.
 if (strlen($_POST['slowo']) < 4 or strlen($_POST['slowo']) > 25)
    {
    echo "Wyszukiwane słowo musi mieć minimum 4 znaki oraz maxymalnie 25 znaków.";
    return $_POST['slowo'];
    } // koniec 
 
if(empty($_POST['slowo']))
 
echo 'Wpisz co chcesz szukać!';
// jeśli jednak dane są wpisane poprawnie
else
{
require ('db.php'); // wstawiamy dane configuracyjne do polaczenia z baza
$slowo = mysql_real_escape_string(htmlspecialchars($_POST['slowo'])); //// tutaj filtruje dane
 
//////////
//$slowo=$_POST['slowo'];
 
$slowoz = strip_tags($slowo);
///$slowoz = mysql_real_escape_string($_POST['slowo']);
 
 
 
$ogonki = array("ę", "ó", "ą", "ś", "ł", "ż", "ź", "ć", "ń", "Ę", "Ó", "Ą", "Ś", "Ł", "Ż", "Ź", "Ć", "Ń", " ", "?");
$bez_ogonkow = array("e", "o", "a", "s", "l", "z", "z", "c", "n", "E", "O", "A", "S", "L", "Z", "Z", "C", "N", "-","");
 
$nazwa_nopolish=str_replace($ogonki, $bez_ogonkow, $slowoz);
 
$nopolish_small = strtolower($nazwa_nopolish); //zmiana na małe litery
 
$zapytanie="SELECT * FROM `$baza` WHERE `tagi` = '$slowoz'" or die(mysql_error());
 
$wynikkoncowy = mysql_query($zapytanie);
 
if(mysql_num_rows($wynikkoncowy)==0) // jezeli nie istnieje to dodajemy:
 
{// tutaj dodajemy jezeli nie ma w bazie:
 
$dodaje = "INSERT INTO $baza (tagi) VALUES ('$slowoz')" or die(mysql_error());
 
$wynik = mysql_query($dodaje);
 
}
[PHP] pobierz, plaintext 

problem pojawia się gdy np wpisuję w wyszukiwarce <script> to skrypt zaczyna szaleć. Tak samo dodają się znaki html typu

[HTML] pobierz, plaintext 
<a href="http://">dddd</a>
[HTML] pobierz, plaintext 

Po prostu nie filtruje danych - co zrobić aby właśnie to zadziałało? gdzie błąd zrobiłem ?

Wiem, że w kodzie mam masło maślane, ale to moje początki w php.

[com]

PHP >= 5.6

[PHP] pobierz, plaintext 
$usun = function($data) {
   return strtolower(preg_replace('/[^A-Za-z0-9\-]/', '', $data));
}
[PHP] pobierz, plaintext 

PHP < 5.6

[PHP] pobierz, plaintext 
function usun($data) {
   return strtolower(preg_replace('/[^A-Za-z0-9\-]/', '', $data));
}
[PHP] pobierz, plaintext 

[unw]

edit:

usuwa polskie znaki i np. piękne dodaje mi do bazy pikne - gubi ę

Ten post edytował unw 11.02.2015, 23:40:46

[com]

teoretycznie tak, ciężko powiedzieć bo to jakiś zlepek tych kodów i chyba tam czegoś brakuje, a jak nie to te warunki trochę są bez sensowne, polecałby jednak mysqli i filtrowanie po typach zawsze bezpieczniej

no bo to nie zastępuje

[PHP] pobierz, plaintext 
$ogonki = array("ę", "ó", "ą", "ś", "ł", "ż", "ź", "ć", "ń", "Ę", "Ó", "Ą", "Ś", "Ł", "Ż", "Ź", "Ć", "Ń", " ", "?");
$bez_ogonkow = array("e", "o", "a", "s", "l", "z", "z", "c", "n", "E", "O", "A", "S", "L", "Z", "Z", "C", "N", "-","");
 
$nazwa_nopolish=str_replace($ogonki, $bez_ogonkow, $slowoz);
[PHP] pobierz, plaintext 

najpierw zamieniaj na alfabet bez encji a potem wykonaj usun

[unw]

Dzięki.

Pomogło uporządkowanie całego kodu oraz wywalenie zbędnych śmieci - teraz filtruje i nie przepuszcza do bazy niechcianych zapytań z sql injection włącznie.