Forum PHP.pl

Jak pod względem bezpieczeństwa przeorganizować ten kod ? Chyba, że zabieczenia dodane są już wystarczające ?

[PHP] pobierz, plaintext 
<?php
$sql = "SELECT news.*, komentarze.nick as knick, komentarze.nr as knr, komentarze.t
resc as ktresc, 
komentarze.data as kdata from news, komentarze  where news.id = komentarze.newsID AND 
komentarze.newsID=$id ORDER BY kdata ASC";
 
$wynik = @mysql_query ($sql);
while ($news = @mysql_fetch_array ($wynik))
{
 
$knr=stripslashes($news['knr']);
$ktresc=stripslashes($news['ktresc']);
$knick=stripslashes($news['knick']);
$kdata=stripslashes($news['kdata']);
$i++;
 
 
echo '<h4> #' . $i . '</h4><p class="tresc">' . $ktresc . '</p><p class="autor">Napisał: ' . $knick . ' - <i>'
 . $kdata . '</i></p>';
 
 
}
 
 
 print "<H3>Komentarz:</H3>";
//echo "<form method="POST" action="nowy.php">";
 print "<FORM METHOD=POST><INPUT TYPE="hidden" NAME="id" VALUE="$id">";
 print "<B>Autor</B><BR><INPUT TYPE="text" NAME="nick" VALUE="$nick" SIZE=60><BR> ";
 print "<B>Treść:</B><BR><TEXTAREA NAME="srodek" ";
 print "ROWS=10 COLS=60>$srodek</TEXTAREA><BR>";
 print "<INPUT TYPE="submit" VALUE="dodaj"  name="gd">";
 print "</FORM>";
 
 
if ($gd=='dodaj') { 
 
 
$srodek = addslashes(nl2br(htmlentities($srodek))); 
 $nick = addslashes(htmlentities($nick));
 
if ($tresc && $nick && $nick!=admin) {
$zapytanie = "INSERT INTO komentarze (newsID, tresc, nick, "." data) VALUES ('$id', '$srodek', '$nick', "." NOW());";
 $wynik = mysql_query ($zapytanie); 
header("Location: url");
}
?>
[PHP] pobierz, plaintext 

Wartosc id w formularzu tez mozna podmienic wiec ja bym rowniez te wartosc sprawdzil.

tzn jak ?

Może stworzyć formularz u siebie np. na localhost'ie odwołujący się do Twojego skryptu Tzw. podmiana formularzy.

acha no, a jak zabezpieczyć ? ktoś w poprzednim poście pisał 'sprawdzić', ale jak sprawdzić, srobić sesje dla id np. ?

Pytasz jak mozna podmienic, czy jak sprawdzic?

Aby sprawdzić, sprawdzasz, czy HTTP_REFER zawiera dane Twojego serwera ;-)

Mowiac sprawdzic mialem na mysli np. czy wartosc id jest liczba lub czy nie zawiera np. znaku srednika.

Oj panowie, nie pastwijcie sie nad chlopakiem....
Niech se poczyta:
http://forum.php.pl/index.php?showtopic=23258&st=0
http://forum.php.pl/index.php?showtopic=30056&st=0

chyba HTTP_REFERER
a dokładniej $_SERVER['HTTP_REFERER'];

pozdraiwam

[PHP] pobierz, plaintext 
<?php
$_GET['id'] = mysql_escape_string(intval($_GET['id']));
?>
[PHP] pobierz, plaintext 

tak można to id przepuścić i bedzie ok ?

a tym REFEREM to nie wiem jak


a reszta z tego kodu oprócz $id byłaby ok pod względem bezpieczeństwa ?

Referer da sie obejsc, wiec nie jest to dobrym rozwiazaniem.

powiedz jak, jeżeli można... wiesz teraz myślę nad zabezpieczeniami i chce wiedzieć jak byś mógł obejść mój referer ?

pozdrawiam

Ja przykladowo tego nie wiem, ale wiem, ze moj firewall blokuje REFERER, przez co dany serwer nie dostaje tego badziewia. I jak mi ktos kiedys stronke zabezbieczyl REFEREREM, to musialem firewall'a wylaczyc by polatac po formularzach.... bardzo wnerwiajace zabezpieczenie i zniechecajace do danej stronki. Bo zeby po niej polatac to musze miec wyłączonego FireWalla

no to jak polecacie, bo już zaczynałem się wgryzać w tego REFERER'a, ale skoro takie oproblemy to nie stosuje, więc jak najlepiej ?

W php wysylajac do serwera takie cos:

fputs($rSocketOpen, "Referer: http://forum.php.pl/r/n");

Patrz funkcja fopen - pisze jak byk w manualu.

Kolejny przyklad FF i odpowiednia wtyczka ma mozliwosc zmiany feferera. Nie wiem czy wiesz ale referer jest wysylany przez przegladarke a nie serwer.

A tak pozatym to polecam przeczytac rfc http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html

no tak jak to w końcu, co Wy używacie ? bo dalej nie wiem, linki przeczytałem, ale i tak nie wiem.

A tak zazwyczaj to jak to się zabepiecza ?

OK, dobra bo się czuje winny

Ew. możesz w formularzu na swojej stronie dać jakąś sesje ($_SESSION['formularz'] = true;) i sprawdzać czy ta sesja istnieje. Nikomu nie chce sie bawić w ten sposób, zwłaszcza, że mozna stworzyć bardziej skomplikowane nazwy i wartości sesji

Chłopaki (przepraszam jesli wypowiadała tu się jakas kobieta) po co te sesje i referery? Chodzi o to aby na serwerze odbierac bezpieczne dane, do czego moim skromnym zdaniem wystarczy wyeskejpowac lub usunąc potencjalnie niebezpieczne znaki typu srednik, cudzyslowy itp. Moze w wyniku takich minimalistycznych dzialan dodam do bazy bzdury, ale nie utrace danych ani nie dopuszcze do wykonania niebezpiecznego kodu.

@bigZbig - a mnie wkurza jak np mi wypełniaja formularz z cudzej strony i odwołuje się on do mojego linka, który zapisuje te dane... poza tym na tym polegją m.in. boty - maja formularz i jazda...

może te sesje jednorazowe to rzeczywiście niezły pomysł... tworzona zostaje przy wyswietleniu formularza i niszczona po akcjach nastąpionych po wykonaniu żądania (unset" title="Zobacz w manualu php" target="_manual)

co Wy na to?