Jos teen nettisivulle tekstikentän ja sovelman käyttäjä kirjoittaa kenttään PHP-kooodia, niin se käsittääkseni suoritetaan jos sivu ladataan uudelleen. Miten voin luoda tarkistuksen, että koodia ei suoritettaisi? Ongelmana on se, että PHP-koodia voi syöttää niin monessa muodossa, tavallisena tekstinä, heksakoodena jne. Olisi kiva nähdä esimerkkikoodi, joka hyväksyisi vain syötteen "aa", mutta ei mitään muuta syötettä, ei edes aa:n heksakoodivastinetta. Ilmeisesti tämä tehdään jotenkin säännöllisten lausekkeiden avulla?
tietoturvallinen lomake
3
928
Vastaukset
- juhakorkeapudas
Ongelma tulee silloin jos suoritat esimerkiksi tietokantakyselyitä ja käyttäjä syöttää hakukenttään sopivan merkkijonon, ja ellei hakukentän syötteestä ole poistettu kiellettyjä merkkejä, seuraukset voivat olla ikäviä. Pelkän hakutoiminnon avulla tietokantaan voi esim. syöttää ilkikurisen käyttäjän haluamaa tietoa. Tämä tieto voi olla esim. kirjautumiseen käytetyn tunnuksen salasanan vaihto yms.
Tekstikenttään syötetty koodi ei aiheuta ongelmaa ellei taustalla ole jokin sellainen toiminto, jota pystyy hyväksikäyttämään koodin avulla.
Helpoiten merkkijonosta karsii "kielletyt" merkit käyttämällä korvausfunktiota säännöllisen lausekkeen kanssa.
$input = preg_replace("/[^a-zA-Z0-9@.]/", "", $input);
Toinen hyvä funktio on otsikossa mainittu Strip_tags, joka poistaa merkkijonosta kaikki html ja php tagit.
http://fi2.php.net/manual/en/function.preg-replace.php
http://fi2.php.net/manual/en/function.strip-tags.php- ejjej
Hyvä perussääntö on että data tallennetaan muuttumattomana, VAIN vaaralliset merkit tehdään vaarattomaksi EI poisteta. Käyttämällä http://php.net/pdo.prepare joka on suositus, niin PHP tekee tuon puolestasi.
Jos ei ole mahdollista käyttää PDO:ta niin silloin käytetään functiota joka on suunniteltu sille tietokannalle jota käytetään, esim MySQL - http://php.net/mysql-real-escape-string
"Helpoiten merkkijonosta karsii "kielletyt" merkit käyttämällä korvausfunktiota säännöllisen lausekkeen kanssa."
Miksi karsia?
Jos lomakkeessa ilmoitetaan esim pelkkiä kirjaimia ja käyttäjä kirjoittaa lisäksi numeroita, tällöin tulostetaan käyttäjälle lomake syötettyinä datoineen virheilmoitus jotta on mahdollista korjata virheensä.
Joissain tapauksissa toimivin on, että poistetaan virheellinen data mutta ennen tallentamista näytetään kävijälle mimmoisena data tallennetaan ja haluaako hän sen tallentaa vielä, näin vältetään ihan vääränä tallentunut sisältö.
"$input = preg_replace("/[^a-zA-Z0-9@.]/", "", $input);"
Ilmeisesti emaileihin?
Tuo muuttaa sallitut email-osoitteet toisenlaiseksi, jolloin joko viesti ei mene kenellekkään tai menee ihan väärälle. http://en.wikipedia.org/wiki/E-mail_address#RFC_Examples
Käyttäkäämme http://php.net/book.filter (filter_var, FILTER_VALIDATE_EMAIL), muutenkin tuota filteria kannattaa käyttää tämmöisissä asioissa. Sekä tuo on nopeempakin kun omat toteutukset, kun on tehty PHP-tulkin koodiin.
"Toinen hyvä funktio on otsikossa mainittu Strip_tags, joka poistaa merkkijonosta kaikki html ja php tagit."
Data muuttumattomana kantaan, nettisivuille (XHTML) tulostaessa laitetaan htmlspecialchars-function éi htmlentities-function kautta. Tällöin datan saa helposti mihintahansa esitysmuotoon ja pystyy poistamaan/muuttamaan halutut merkit. Toki tällöin täytyy tuntea hieman merkistökoodauksista ettei aiheuta ongelmia.
Ei tuo strip_tags-functio ole ongelmaton. Lähetän foorumille - toimii jossain
ejjej kirjoitti:
Hyvä perussääntö on että data tallennetaan muuttumattomana, VAIN vaaralliset merkit tehdään vaarattomaksi EI poisteta. Käyttämällä http://php.net/pdo.prepare joka on suositus, niin PHP tekee tuon puolestasi.
Jos ei ole mahdollista käyttää PDO:ta niin silloin käytetään functiota joka on suunniteltu sille tietokannalle jota käytetään, esim MySQL - http://php.net/mysql-real-escape-string
"Helpoiten merkkijonosta karsii "kielletyt" merkit käyttämällä korvausfunktiota säännöllisen lausekkeen kanssa."
Miksi karsia?
Jos lomakkeessa ilmoitetaan esim pelkkiä kirjaimia ja käyttäjä kirjoittaa lisäksi numeroita, tällöin tulostetaan käyttäjälle lomake syötettyinä datoineen virheilmoitus jotta on mahdollista korjata virheensä.
Joissain tapauksissa toimivin on, että poistetaan virheellinen data mutta ennen tallentamista näytetään kävijälle mimmoisena data tallennetaan ja haluaako hän sen tallentaa vielä, näin vältetään ihan vääränä tallentunut sisältö.
"$input = preg_replace("/[^a-zA-Z0-9@.]/", "", $input);"
Ilmeisesti emaileihin?
Tuo muuttaa sallitut email-osoitteet toisenlaiseksi, jolloin joko viesti ei mene kenellekkään tai menee ihan väärälle. http://en.wikipedia.org/wiki/E-mail_address#RFC_Examples
Käyttäkäämme http://php.net/book.filter (filter_var, FILTER_VALIDATE_EMAIL), muutenkin tuota filteria kannattaa käyttää tämmöisissä asioissa. Sekä tuo on nopeempakin kun omat toteutukset, kun on tehty PHP-tulkin koodiin.
"Toinen hyvä funktio on otsikossa mainittu Strip_tags, joka poistaa merkkijonosta kaikki html ja php tagit."
Data muuttumattomana kantaan, nettisivuille (XHTML) tulostaessa laitetaan htmlspecialchars-function éi htmlentities-function kautta. Tällöin datan saa helposti mihintahansa esitysmuotoon ja pystyy poistamaan/muuttamaan halutut merkit. Toki tällöin täytyy tuntea hieman merkistökoodauksista ettei aiheuta ongelmia.
Ei tuo strip_tags-functio ole ongelmaton. Lähetän foorumilleKäytin erään lomakkeen tarkistamiseen sähköpostiosoitteen kohdalla tuota FILTER_VALIDATE_EMAIL-toimintoa. Jostain syystä se toimii omalla kotikoneellani vallan mainiosti, mutta ainakaan mbnet:in serverillä sama koodi ei enää toimikaan. Testailujeni perusteella koodin suoritus tökkää juuri tuohon validointiin, sen jälkeen ei tulosteta näytölle yhtään mitään. Onkohan tuo toiminto otettu joiltain servereiltä pois käytöstä, kun siinä taisi olla joku tietoturvaongelma? Entä tuleeko mieleen joku muu hyvä ja edes melko luotettava keino tarkistaa osoite?
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Hengenvaaralliset kiihdytysajot päättyivät karmealla tavalla, kilpailija kuoli
Onnettomuudesta on aloitettu selvitys. Tapahtuma keskeytettiin onnettomuuteen. Tapahtumaa tutkitaan paikan päällä yhtei1686174- 1471714
- 1131508
- 511270
Suureksi onneksesi on myönnettävä
Että olen nyt sitten mennyt rakastumaan sinuun. Ei tässä mitään, olen kärsivällinen ❤️46922Möykkähulluus vaati kuolonuhrin
Nuori elämä menettiin täysin turhaan tällä järjettömyydellä! Toivottavasti näitä ei enää koskaan nähdä Kauhavalla! 😢28844Älä mies pidä mua pettäjänä
En petä ketään. Älä mies ajattele niin. Anteeksi että ihastuin suhun varattuna. Pettänyt en ole koskaan ketään vaikka hu97836Reeniähororeeniä
Helvetillisen vaikeaa työskennellä hoitajana,kun ei kestä silmissään yhtään läskiä. Saati hoitaa sellaista. Mitä tehdä?5789- 41739
Tarvitsemme lisää maahanmuuttoa.
Väestö eläköityy, eli tarvitsemme lisää tekeviä käsiä ja veronmaksajia. Ainut ratkaisu löytyy maahanmuutosta. Nimenomaan221736