[PHP]Czyszczenie inputut od usera Opcje

[sadistic_son]

Cześc, Próbuję popełnić klasę do czyszczenia inputów od userów.

klasa Request:

[PHP] pobierz, plaintext 
namespace nameOne;
 
class Request
{
 
    public $post;
    public $get;
 
    public function sanitizePostString($request)
    {
        $this->post = filter_input(INPUT_POST, $request, FILTER_SANITIZE_STRING);
        return $this->post;
    }
 
    public function sanitizePostArray($request)
    {
        $this->post = filter_input_array(INPUT_POST, $request, FILTER_SANITIZE_STRING);
        return $this->post;
    }
}
[PHP] pobierz, plaintext 

Kawałek próbujący wyświetlić wyczyszczony post:

[PHP] pobierz, plaintext 
if (isset($_POST['submitTest']) && isset($_POST['testText'])) {
    $cleanTestText = new Request();
    echo '<br>' . $cleanTestText->sanitizePostString($_POST['testText']);
}
[PHP] pobierz, plaintext 

Oczywiście nic się nie wyświtla. W klasie robiłem return 'dupa' i też się ona nie wyświetla. Post przechodzi, no bo echo $_POST['testText'] wyświetla wpisany tekst.


Boże co za wstydliwy post. Gdybym tego nie robił w OOP, którego się uczę, to bym w życiu nie pytał o takie pierdoły



EDIT: Skoro po tylu wyświetleniach nikt nie odpisał to ja odpiszę (bo rozwiązałem problem)

[PHP] pobierz, plaintext 
if (isset($_POST['submitTest']) && isset($_POST['testText'])) {
    $cleanTestText = new Request();
    echo '<br>' . $cleanTestText->sanitizePostString('testText');
}
[PHP] pobierz, plaintext 

Ten post edytował sadistic_son 6.01.2023, 12:18:40

[viking]

I jaki jest cel tego oczyszczania? Bo do wrzucenia do bazy przez bindowanie zbędne. Do jakiegoś oczyszczania z html - za słabe. Nie czepiam się tylko musisz sobie uświadomić że musi być jakiś cel tej metody. Jeśli to na rozmowę o pracę to pewnie ktoś zada to samo pytanie.

[sadistic_son]

Hmm, do html za słabe? Cel jest taki żeby wyczyścić ze wszystkiego co może popsuć cokolwiek na stronie lub w bazie. Do bazy używam bindowania, racja.

Jak rozumiem z manuala to FILTER_SANITIZE_STRING czyści htmlowe tagi oraz cudzysłowy. to nie wystarczy?
"Strip tags and HTML-encode double and single quotes, optionally strip or encode special characters."

Ten post edytował sadistic_son 6.01.2023, 14:18:58

[viking]

A doszedłeś do tej części manuala?
Deprecated as of PHP 8.1.0, use htmlspecialchars() instead

Nie stosuje się oczyszczania na zaś. Raz potrzebujesz datę, innym razem maila.

[sadistic_son]

Uzywam obecnie PHP Version 8.0.25, ale good point - trzeba zaprzestać używania tego, co wycofane.

[PHP] pobierz, plaintext 
//czyli zamiast:
$this->post = filter_input(INPUT_POST, $request, FILTER_SANITIZE_STRING);
 
//wystarczy to?
$this->post = htmlspecialchars($request);
[PHP] pobierz, plaintext 

I tyle? POST bezpieczny i gotowy do bindowania przed wrzuceniem do bazy?
Tablicy tym nie wyczyszczę, co?

Ten post edytował sadistic_son 6.01.2023, 14:38:43

[viking]

Są znacznie bardziej zaawansowane ataki bazujące np na zestawie innych znaków. A jak będziesz potrzebował oryginał zmiennej? Uparłeś się nie wiedzieć czemu na to pseudo zabezpieczenie i trzymasz się tego.

[sadistic_son]

No nie, nie uparłem się. Ale nie mogę wziąć jakiegoś gotowego komponentu co ma 100 linijek, a sam takiego nie napiszę. Chcę to zabezpieczyć z grubsza - przed zwykłym userem co co najwyżej umie F12 wcisnąć w przeglądarce, a nie przed kimś z grupy anonymous

EDIT:
Ale już widzę, że htmlspecialchars nie zabezpiecza np przed taką wartością wrzucona do inputu ---> <script>alert('siema');</script>

Ten post edytował sadistic_son 6.01.2023, 14:57:12

[viking]

To atak xss. I dlatego od dawna wybijamy ci tutaj używanie takich metod. Ja bym na Twoim miejscu zrobił to normalnie czyli chociaż zapoznał się jak działają zewnętrzne biblioteki do walidacji. Robiłem rekrutacje i gdybyś mi wyskoczył z takim kodem to długo byśmy nie porozmawiali. Nie musisz w 100% rozumieć bibliotek, ale musisz znać podstawy od psr zaczynając. I co najmniej rozumieć podstawy typowania. Jakieś zabezpieczanie przez bindowanie. A przede wszystkim, i to jest całkowita podstawa, musisz umieć czytać dokumentację php oraz bibliotek zewnętrznych. Jak ktoś powie ze masz użyć biblioteki x to nie musisz jej znać ale musisz rozumieć coś z opisu.

Ten post edytował viking 6.01.2023, 15:56:35

[sadistic_son]

Ok, brzmi rozsądnie. W takim razie oleję ten przykład z ksiązki który wałkowałem. Poleć mi więc proszę jakąś przystępną, niezbyt zaawansowaną bilbiotekę do czyszczenia inputów.
A bind z PDO to wystarczy zupełnie do zabezpieczenia się przed problemami z danymi z bazy?

Ten post edytował sadistic_son 6.01.2023, 16:07:54