Konwerter HTML do BBCode i BBCode do HTML Opcje

[northwest]

Witam serdecznie,
Poszukuję funkcji do bezpiecznego zapisu/odczytu danych w bazie MySQL.
Użytkownicy mojej strony mają edytorek HTML i zapisują swoje dane w MySQL.
Poszukuję funkcji do bezpiecznego zapisu i odczytu tych danych do MySQL (z usunięciem niebezpiecznych tagów/js'ów itp).


Mógłbym prosić o podesłanie takich skryptów?


Bardzo proszę o pomoc,
Northwest

[nospor]

A co to ma do bazy danych? Poprostu albo escapuj dane przed wlozeniem, albo uzywaj bindowania jesli korzystasz z mysqli lub PDO i po sprawie.

[northwest]

używam takie coś:

[PHP] pobierz, plaintext 
function baza_zapis2($string) { 
    $string = preg_replace('/<script\b[^>]*>(.*?)<\/script>/is', "", $string);
    $string = htmlspecialchars($string, ENT_COMPAT, 'UTF-8');
    return $string;
}
 
// funkcja odczytujące dane w bezpiecznej formie (ulepszona wersja)
function baza_odczyt2($string) { 
    $string = htmlspecialchars_decode($string, ENT_COMPAT);
    return $string;
}
[PHP] pobierz, plaintext 

I potem za pomocą PDO zapisuję do bazy....

Czy to bezpieczne rozwiązanie?

[nospor]

Z tematu wynika ze chcesz zabezpieczyc poprawne wlozenie danych do bazy. Po raz kolejny ci mowie, ze wystarczy ze uzyjesz bindowania w PDO i nic wiecej nie musisz robic.

Jesli chcesz strone zabezpieczac przed np. XSS to mozesz przed wyswietleniem danych uzyc htmlspecialchars i juz. Wszystko zalezy co chcesz osiagnac.

[northwest]

W PDO robię zapis w takiej formie:

[PHP] pobierz, plaintext 
$stmt = $db->prepare("select COUNT(bf_id) AS ile from uzytkownicy WHERE login =:login;");
$stmt->bindValue(':login', baza_zapis($_POST["login"]), PDO::PARAM_STR);
$stmt->execute();
 
 
$stmt = $db->prepare("INSERT INTO uzytkownicy (login, haslo,typusera, opis) VALUES (:login, :haslo, :typusera, :opis);");
        $stmt->bindValue(':login', baza_zapis($_POST['login']), PDO::PARAM_STR);
        $stmt->bindValue(':haslo', baza_zapis($_POST['haslo']), PDO::PARAM_STR);
        $stmt->bindValue(':typusera', 1, PDO::PARAM_INT);
        $stmt->bindValue(':opis', baza_zapis($_POST['opis']), PDO::PARAM_STR);
        $stmt->execute();
 
[PHP] pobierz, plaintext 

i zastanawiam się czy istnieje jakieś jeszcze niebezpieczeństwo?

W funkcji zapisującej usuwam JS, do tego to PDO i zamiana HTML ... Coś jeszcze powinienem zrobić?


Wyczytałem gdzieś że opisy itp powinno zamieniać się na BBCode przed zapisem....

Ten post edytował northwest 28.09.2015, 13:15:01

[nospor]

Zacznij prosze czytac ze zrozumieniem co sie do CIebie pisze. Powtarzam, tym razem postaraj sie skupic :/

By zapisac poprawnie i bezpiecznie dane do bazy, wystarczy ze uzyjesz binowania w PDO. Nic wiecej nie musisz robic. Nie musisz pozbawiac hasla znakow specjalnych. Po to ludzie wymyslają w haslach znaki specjalne by one tam byly i by jakis nadgorliwy poczatkujacy programista ich im nie kasowal....
Nie wspomne juz o tym, ze hasla w bazie nie powinny byc zapisane w jawnej postaci a w postaci hasha.

Zas zabezpieczenia danych wyswietlanych wprowadzanych przez usera to zupelnie inna bajka. Jak chcesz sie zabepieczyc przed XSS, czyli w skrocie rzecz mowiac, przed wykonaniem zlosliwego kodu js podanego przez usera, wystarczy ze przed wyswietleniem danych uzyjesz HTMLSPECIALCHARS. Przed wyswietleniem, a nie przed zapisem do bazy...

Co do bbcode to user ma pisac w bbcode a nie ty masz zamieniac na bbcode.... Ty przed wyswietleniem masz bbcode zamienic na normalny html.

[viking]

Pod względem wydajnościowym może być lepiej trzymać treść oryginalną i sparsowaną w bazie. Bez sensu jest zatrudniać przed każdym wyświetleniem parser bbcode/markdown/textile/whatever do wygenerowania treści.

[nospor]

@viking tak, ale to juz kolejna dodatkowa kwestia. Najpierw niech autor opanuje podstawy.

[northwest]

OK, dziękuję bardzo za poradę

Mam jeszcze jedno pytanie,
Mam takie coś:

[PHP] pobierz, plaintext 
 
$base_host = "localhost";     // host mysql
$base_login = "root";    // użytkownik bazy danych
$base_haslo = "xxx";    // hasło bazy danych
$base_baza = "bazq";    // nazwa bazy danych
 
function login_check($mysqli) {
    //// jakaś funkcja
    if ($stmt = $db->prepare("SELECT password FROM user WHERE gt_id = :user_id LIMIT 1;")) {
            $stmt->bindValue(':user_id', $user_id);
            $stmt->execute();  
    }
 
}
[PHP] pobierz, plaintext 

Dlaczego wewnątrz tej funkcji nie widać tych zmiennych $base_

Ten post edytował northwest 28.09.2015, 14:00:59

[nospor]

manual -> zasieg zmiennych.

[northwest]

tak, ale dane do połącznenia z pdo=>mysql mam poza funkcją....


Przepraszam,ale zły przykład napisałem powyżej:

[PHP] pobierz, plaintext 
$base_host = "localhost";     // host mysql
$base_login = "root";    // użytkownik bazy danych
$base_haslo = "xxx";    // hasło bazy danych
$base_baza = "baza";    // nazwa bazy danych
 
 
  $options = array(PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8'); 
    try 
    { 
        $db = new PDO("mysql:host={$base_host};dbname={$base_baza};charset=utf8", $base_login, $base_haslo, $options); 
    } 
    catch(PDOException $ex) 
    { 
        die("Failed to connect to the database: " . $ex->getMessage()); 
    } 
    $db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);  
    $db->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC); 
 
 
 
function login($email, $password, $mysqli) {   
 
 
 
    if ($stmt = $db->prepare("SELECT gt_id, username, password, salt  FROM cms_admin  WHERE username = :username LIMIT 1;")) {
        $stmt->bindValue(':username', $email);  
        $stmt->execute();  
 
}}
 
 
[PHP] pobierz, plaintext 

I już tutaj, wewnątrz funkcji nie widzi tego połączenia


otrzymuję błąd: Fatal error: Call to a member function prepare() on null in db.php on line 78



Ten post edytował northwest 28.09.2015, 14:18:51

[nospor]

Toc wyraznie napisalem:
manual -> zasieg zmiennych

http://php.net/manual/en/language.variables.scope.php

[northwest]

OK, dziękuję

Mam jeszcze pytanie - czy takie rozwiązanie jest bezpieczne:

[PHP] pobierz, plaintext 
$stmtdwdw = $db->prepare("INSERT INTO komentarze (idusera, tresc) VALUES (:idusera, :tresc);");
$stmtdwdw->bindValue(':idusera', $_SESSION['id_usera'], PDO::PARAM_INT);
$stmtdwdw->bindValue(':tresc', $_POST['txt'], PDO::PARAM_STR);
$stmtdwdw->execute();
[PHP] pobierz, plaintext 

Chodzi mi o trzymanie ID użytkownika w sesji?

[nospor]

No tak, cos w sesji musisz trzymac by wiedziec kto zalogowany