Versiune printabilă
Salut,
Vreau sa va intreb daca urmatoarea functie este suficienta pentru a securiza un site in php care se foloseste de variabile cu valori extrase prin $_GET:
Cod PHP:function securizare($var) {
$var = ereg_replace("[\'\")(;|`,<>]", "", $var);
$var = @mysql_real_escape_string($var, $conexiune);
$var = htmlentities($var);
return stripslashes($var);
}
te-ai gandit ca mysql_real_escape_string face securizarea completa pe care o urmaresti tu? de fapt face escape la caracterele speciale in afara de '%' si'_' care sunt cam safe.
Poti folosi si php strip tags
1.ereg_replace ..<> inlocuieste numai perechea <> sau si cand e numai < ?
2.return stripslashes($var) nu anuleaza ce ai facut cu real_escape ? Adica daca cineva vrea sa iti insereze niste linkuri si introduce "sql insert into table .." , nu exista pericolul sa se execute cand afisezi informatia in browser ?
Cam acesta ar fi procesul:
1. Trebuie sa validezi toate campurile. Adica daca se asteapta email sa validezi email, daca se asteapta numar sa validezi numar, poti sa aplici si strip_tags daca nu se asteapta cod html. Eu de exemplu daca astept un numar intreg, fac ceva de genul $nr = intval( $_POST['nr'] ) si atunci elimin caracterele aiurea.
2. Trebuie sa verifici daca magic_quotes_gpc sunt active/inactive si in functie de asta aplici stripslashes dupa ce se face submit la form.
3. Aplici mysql_real_escape_string cand faci queryul la baza de date.
Adica sa il folosesc doar cand introduc sau selectez ceva din baza de date?Citat:
Postat în original de beeuser
Adica da, mysql_real_escape_string se foloseste pentru queryul, si ca sa-l folosesti trebuie sa ai activa o conexiune la baza de data.
Uite aici poate te ajuta asta. Am scris-o mai demult.
Exemplu de folosire:Cod PHP:function securizare(){
$string = parse_url($_SERVER['REQUEST_URI'],PHP_URL_QUERY);
parse_str($string, $output);
foreach($output as $k => $v){
$key = sanitize($k);
$val = sanitize($v);
$output_arr[$key] = $val;
}
if(isset($output_arr) && is_array($output_arr)) return $output_arr;
else return false;
}
function sanitize($var,$santype=3){
if($santype == 1){
return strip_tags($var);
}
if($santype == 2){
return htmlentities(strip_tags($var), ENT_QUOTES, 'UTF-8');
}
if($santype == 3){
if(!get_magic_quotes_gpc()){
return addslashes(htmlentities(strip_tags($var), ENT_QUOTES, 'UTF-8'));
}else{
return htmlentities(strip_tags($var), ENT_QUOTES, 'UTF-8');
}
}
}
Daca vrei sa folosesti $_GET, faci asa:Cod PHP://@exemplu: http://numedomeniu.ro/test.php?key=valoare
print_r(securizare());
$sec = securizare();
echo $sec['key']; //returneaza "valoare"
Sper sa-ti fie de folos. Daca nu te descurci intreaba.Cod PHP://@exemplu: http://numedomeniu.ro/test.php?key=valoare
$var = sanitize($_GET['key']);
echo $var;
LE: mysql_real_escape_string() folosesti la query-urile MySQL cu date din $_GET sau $_POST;
Cod PHP:$y = sanitize($_GET['key']);
$sql = ("SELECT * FROM tabel WHERE x='".mysql_real_escape_string($y)."' ");
$result = mysql_query($sql);
//loop etc..
Validarea datelor in PHP e importanta dar iti recomand sa folosesti si mod_security pentru ca un site poate fi atacat si folosind caractere "normale" - ex. SQL Injection. Cu mod_security scapi de multe griji si cum e instalat pe majoritatea serverelor de hosting, iar unde nu e aproape sigur se instaleaza la cerere ca nu intra conflict cu nimic, il poti incerca.
Eu il folosesc pe toate site-urile. Cu putina rabdare poti forma reguli complexe care iti fac site-ul aproape hackproof, chiar daca e scris prost din punct de vedere al securitatii.