tietoturvallinen lomake

php-aloittelija

Jos teen nettisivulle tekstikentän ja sovelman käyttäjä kirjoittaa kenttään PHP-kooodia, niin se käsittääkseni suoritetaan jos sivu ladataan uudelleen. Miten voin luoda tarkistuksen, että koodia ei suoritettaisi? Ongelmana on se, että PHP-koodia voi syöttää niin monessa muodossa, tavallisena tekstinä, heksakoodena jne. Olisi kiva nähdä esimerkkikoodi, joka hyväksyisi vain syötteen "aa", mutta ei mitään muuta syötettä, ei edes aa:n heksakoodivastinetta. Ilmeisesti tämä tehdään jotenkin säännöllisten lausekkeiden avulla?

3

928

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • juhakorkeapudas

      Ongelma tulee silloin jos suoritat esimerkiksi tietokantakyselyitä ja käyttäjä syöttää hakukenttään sopivan merkkijonon, ja ellei hakukentän syötteestä ole poistettu kiellettyjä merkkejä, seuraukset voivat olla ikäviä. Pelkän hakutoiminnon avulla tietokantaan voi esim. syöttää ilkikurisen käyttäjän haluamaa tietoa. Tämä tieto voi olla esim. kirjautumiseen käytetyn tunnuksen salasanan vaihto yms.

      Tekstikenttään syötetty koodi ei aiheuta ongelmaa ellei taustalla ole jokin sellainen toiminto, jota pystyy hyväksikäyttämään koodin avulla.

      Helpoiten merkkijonosta karsii "kielletyt" merkit käyttämällä korvausfunktiota säännöllisen lausekkeen kanssa.

      $input = preg_replace("/[^a-zA-Z0-9@.]/", "", $input);

      Toinen hyvä funktio on otsikossa mainittu Strip_tags, joka poistaa merkkijonosta kaikki html ja php tagit.


      http://fi2.php.net/manual/en/function.preg-replace.php

      http://fi2.php.net/manual/en/function.strip-tags.php

      • ejjej

        Hyvä perussääntö on että data tallennetaan muuttumattomana, VAIN vaaralliset merkit tehdään vaarattomaksi EI poisteta. Käyttämällä http://php.net/pdo.prepare joka on suositus, niin PHP tekee tuon puolestasi.

        Jos ei ole mahdollista käyttää PDO:ta niin silloin käytetään functiota joka on suunniteltu sille tietokannalle jota käytetään, esim MySQL - http://php.net/mysql-real-escape-string


        "Helpoiten merkkijonosta karsii "kielletyt" merkit käyttämällä korvausfunktiota säännöllisen lausekkeen kanssa."

        Miksi karsia?
        Jos lomakkeessa ilmoitetaan esim pelkkiä kirjaimia ja käyttäjä kirjoittaa lisäksi numeroita, tällöin tulostetaan käyttäjälle lomake syötettyinä datoineen virheilmoitus jotta on mahdollista korjata virheensä.

        Joissain tapauksissa toimivin on, että poistetaan virheellinen data mutta ennen tallentamista näytetään kävijälle mimmoisena data tallennetaan ja haluaako hän sen tallentaa vielä, näin vältetään ihan vääränä tallentunut sisältö.


        "$input = preg_replace("/[^a-zA-Z0-9@.]/", "", $input);"

        Ilmeisesti emaileihin?
        Tuo muuttaa sallitut email-osoitteet toisenlaiseksi, jolloin joko viesti ei mene kenellekkään tai menee ihan väärälle. http://en.wikipedia.org/wiki/E-mail_address#RFC_Examples

        Käyttäkäämme http://php.net/book.filter (filter_var, FILTER_VALIDATE_EMAIL), muutenkin tuota filteria kannattaa käyttää tämmöisissä asioissa. Sekä tuo on nopeempakin kun omat toteutukset, kun on tehty PHP-tulkin koodiin.


        "Toinen hyvä funktio on otsikossa mainittu Strip_tags, joka poistaa merkkijonosta kaikki html ja php tagit."

        Data muuttumattomana kantaan, nettisivuille (XHTML) tulostaessa laitetaan htmlspecialchars-function éi htmlentities-function kautta. Tällöin datan saa helposti mihintahansa esitysmuotoon ja pystyy poistamaan/muuttamaan halutut merkit. Toki tällöin täytyy tuntea hieman merkistökoodauksista ettei aiheuta ongelmia.

        Ei tuo strip_tags-functio ole ongelmaton. Lähetän foorumille


      • toimii jossain
        ejjej kirjoitti:

        Hyvä perussääntö on että data tallennetaan muuttumattomana, VAIN vaaralliset merkit tehdään vaarattomaksi EI poisteta. Käyttämällä http://php.net/pdo.prepare joka on suositus, niin PHP tekee tuon puolestasi.

        Jos ei ole mahdollista käyttää PDO:ta niin silloin käytetään functiota joka on suunniteltu sille tietokannalle jota käytetään, esim MySQL - http://php.net/mysql-real-escape-string


        "Helpoiten merkkijonosta karsii "kielletyt" merkit käyttämällä korvausfunktiota säännöllisen lausekkeen kanssa."

        Miksi karsia?
        Jos lomakkeessa ilmoitetaan esim pelkkiä kirjaimia ja käyttäjä kirjoittaa lisäksi numeroita, tällöin tulostetaan käyttäjälle lomake syötettyinä datoineen virheilmoitus jotta on mahdollista korjata virheensä.

        Joissain tapauksissa toimivin on, että poistetaan virheellinen data mutta ennen tallentamista näytetään kävijälle mimmoisena data tallennetaan ja haluaako hän sen tallentaa vielä, näin vältetään ihan vääränä tallentunut sisältö.


        "$input = preg_replace("/[^a-zA-Z0-9@.]/", "", $input);"

        Ilmeisesti emaileihin?
        Tuo muuttaa sallitut email-osoitteet toisenlaiseksi, jolloin joko viesti ei mene kenellekkään tai menee ihan väärälle. http://en.wikipedia.org/wiki/E-mail_address#RFC_Examples

        Käyttäkäämme http://php.net/book.filter (filter_var, FILTER_VALIDATE_EMAIL), muutenkin tuota filteria kannattaa käyttää tämmöisissä asioissa. Sekä tuo on nopeempakin kun omat toteutukset, kun on tehty PHP-tulkin koodiin.


        "Toinen hyvä funktio on otsikossa mainittu Strip_tags, joka poistaa merkkijonosta kaikki html ja php tagit."

        Data muuttumattomana kantaan, nettisivuille (XHTML) tulostaessa laitetaan htmlspecialchars-function éi htmlentities-function kautta. Tällöin datan saa helposti mihintahansa esitysmuotoon ja pystyy poistamaan/muuttamaan halutut merkit. Toki tällöin täytyy tuntea hieman merkistökoodauksista ettei aiheuta ongelmia.

        Ei tuo strip_tags-functio ole ongelmaton. Lähetän foorumille

        Käytin erään lomakkeen tarkistamiseen sähköpostiosoitteen kohdalla tuota FILTER_VALIDATE_EMAIL-toimintoa. Jostain syystä se toimii omalla kotikoneellani vallan mainiosti, mutta ainakaan mbnet:in serverillä sama koodi ei enää toimikaan. Testailujeni perusteella koodin suoritus tökkää juuri tuohon validointiin, sen jälkeen ei tulosteta näytölle yhtään mitään. Onkohan tuo toiminto otettu joiltain servereiltä pois käytöstä, kun siinä taisi olla joku tietoturvaongelma? Entä tuleeko mieleen joku muu hyvä ja edes melko luotettava keino tarkistaa osoite?


    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Luetuimmat keskustelut

    1. Hengenvaaralliset kiihdytysajot päättyivät karmealla tavalla, kilpailija kuoli

      Onnettomuudesta on aloitettu selvitys. Tapahtuma keskeytettiin onnettomuuteen. Tapahtumaa tutkitaan paikan päällä yhtei
      Kauhava
      168
      6174
    2. Ootko rakastunut?

      Kerro pois nyt
      Ikävä
      147
      1714
    3. Onhan sulla nainen parempi mieli

      Nyt? Ainakin toivon niin.
      Ikävä
      113
      1508
    4. Ujosteletko tosissaan vai mitä oikeen

      Himmailet???? Mitä pelkäät?????
      Ikävä
      51
      1270
    5. Suureksi onneksesi on myönnettävä

      Että olen nyt sitten mennyt rakastumaan sinuun. Ei tässä mitään, olen kärsivällinen ❤️
      Ikävä
      46
      922
    6. Möykkähulluus vaati kuolonuhrin

      Nuori elämä menettiin täysin turhaan tällä järjettömyydellä! Toivottavasti näitä ei enää koskaan nähdä Kauhavalla! 😢
      Kauhava
      28
      844
    7. Älä mies pidä mua pettäjänä

      En petä ketään. Älä mies ajattele niin. Anteeksi että ihastuin suhun varattuna. Pettänyt en ole koskaan ketään vaikka hu
      Ikävä
      97
      836
    8. Reeniähororeeniä

      Helvetillisen vaikeaa työskennellä hoitajana,kun ei kestä silmissään yhtään läskiä. Saati hoitaa sellaista. Mitä tehdä?
      Kouvola
      5
      789
    9. Kävit nainen näemmä mun

      Facessa katsomassa....
      Ikävä
      41
      739
    10. Tarvitsemme lisää maahanmuuttoa.

      Väestö eläköityy, eli tarvitsemme lisää tekeviä käsiä ja veronmaksajia. Ainut ratkaisu löytyy maahanmuutosta. Nimenomaan
      Maailman menoa
      221
      736
    Aihe