tietoturvallinen lomake

Hyvä perussääntö on että data tallennetaan muuttumattomana, VAIN vaaralliset merkit tehdään vaarattomaksi EI poisteta. Käyttämällä http://php.net/pdo.prepare joka on suositus, niin PHP tekee tuon puolestasi.

Jos ei ole mahdollista käyttää PDO:ta niin silloin käytetään functiota joka on suunniteltu sille tietokannalle jota käytetään, esim MySQL - http://php.net/mysql-real-escape-string


"Helpoiten merkkijonosta karsii "kielletyt" merkit käyttämällä korvausfunktiota säännöllisen lausekkeen kanssa."

Miksi karsia?
Jos lomakkeessa ilmoitetaan esim pelkkiä kirjaimia ja käyttäjä kirjoittaa lisäksi numeroita, tällöin tulostetaan käyttäjälle lomake syötettyinä datoineen virheilmoitus jotta on mahdollista korjata virheensä.

Joissain tapauksissa toimivin on, että poistetaan virheellinen data mutta ennen tallentamista näytetään kävijälle mimmoisena data tallennetaan ja haluaako hän sen tallentaa vielä, näin vältetään ihan vääränä tallentunut sisältö.


"$input = preg_replace("/[^a-zA-Z0-9@.]/", "", $input);"

Ilmeisesti emaileihin?
Tuo muuttaa sallitut email-osoitteet toisenlaiseksi, jolloin joko viesti ei mene kenellekkään tai menee ihan väärälle. http://en.wikipedia.org/wiki/E-mail_address#RFC_Examples

Käyttäkäämme http://php.net/book.filter (filter_var, FILTER_VALIDATE_EMAIL), muutenkin tuota filteria kannattaa käyttää tämmöisissä asioissa. Sekä tuo on nopeempakin kun omat toteutukset, kun on tehty PHP-tulkin koodiin.


"Toinen hyvä funktio on otsikossa mainittu Strip_tags, joka poistaa merkkijonosta kaikki html ja php tagit."

Data muuttumattomana kantaan, nettisivuille (XHTML) tulostaessa laitetaan htmlspecialchars-function éi htmlentities-function kautta. Tällöin datan saa helposti mihintahansa esitysmuotoon ja pystyy poistamaan/muuttamaan halutut merkit. Toki tällöin täytyy tuntea hieman merkistökoodauksista ettei aiheuta ongelmia.

Ei tuo strip_tags-functio ole ongelmaton. Lähetän foorumille

ejjej kirjoitti:

Hyvä perussääntö on että data tallennetaan muuttumattomana, VAIN vaaralliset merkit tehdään vaarattomaksi EI poisteta. Käyttämällä http://php.net/pdo.prepare joka on suositus, niin PHP tekee tuon puolestasi.

Jos ei ole mahdollista käyttää PDO:ta niin silloin käytetään functiota joka on suunniteltu sille tietokannalle jota käytetään, esim MySQL - http://php.net/mysql-real-escape-string


"Helpoiten merkkijonosta karsii "kielletyt" merkit käyttämällä korvausfunktiota säännöllisen lausekkeen kanssa."

Miksi karsia?
Jos lomakkeessa ilmoitetaan esim pelkkiä kirjaimia ja käyttäjä kirjoittaa lisäksi numeroita, tällöin tulostetaan käyttäjälle lomake syötettyinä datoineen virheilmoitus jotta on mahdollista korjata virheensä.

Joissain tapauksissa toimivin on, että poistetaan virheellinen data mutta ennen tallentamista näytetään kävijälle mimmoisena data tallennetaan ja haluaako hän sen tallentaa vielä, näin vältetään ihan vääränä tallentunut sisältö.


"$input = preg_replace("/[^a-zA-Z0-9@.]/", "", $input);"

Ilmeisesti emaileihin?
Tuo muuttaa sallitut email-osoitteet toisenlaiseksi, jolloin joko viesti ei mene kenellekkään tai menee ihan väärälle. http://en.wikipedia.org/wiki/E-mail_address#RFC_Examples

Käyttäkäämme http://php.net/book.filter (filter_var, FILTER_VALIDATE_EMAIL), muutenkin tuota filteria kannattaa käyttää tämmöisissä asioissa. Sekä tuo on nopeempakin kun omat toteutukset, kun on tehty PHP-tulkin koodiin.


"Toinen hyvä funktio on otsikossa mainittu Strip_tags, joka poistaa merkkijonosta kaikki html ja php tagit."

Data muuttumattomana kantaan, nettisivuille (XHTML) tulostaessa laitetaan htmlspecialchars-function éi htmlentities-function kautta. Tällöin datan saa helposti mihintahansa esitysmuotoon ja pystyy poistamaan/muuttamaan halutut merkit. Toki tällöin täytyy tuntea hieman merkistökoodauksista ettei aiheuta ongelmia.

Ei tuo strip_tags-functio ole ongelmaton. Lähetän foorumille

Lue lisää

Käytin erään lomakkeen tarkistamiseen sähköpostiosoitteen kohdalla tuota FILTER_VALIDATE_EMAIL-toimintoa. Jostain syystä se toimii omalla kotikoneellani vallan mainiosti, mutta ainakaan mbnet:in serverillä sama koodi ei enää toimikaan. Testailujeni perusteella koodin suoritus tökkää juuri tuohon validointiin, sen jälkeen ei tulosteta näytölle yhtään mitään. Onkohan tuo toiminto otettu joiltain servereiltä pois käytöstä, kun siinä taisi olla joku tietoturvaongelma? Entä tuleeko mieleen joku muu hyvä ja edes melko luotettava keino tarkistaa osoite?