Input drošība

[daGrevis]

Sveiki,

Nedaudz uzlaboju drošību savam kodam...

 

<input type="checkbox" name="rules" id="rules">

 

Vai nav tiesa, ka hakeris kaut vai ar to pašu FireBug var nomainīt "type" uz tekstu un tad submit'ot ko ļaunu? Škiet jā.

Kādai vajadzētu izskatīties pārbaudei? (pret ko sliktu)

 

Nu, piemēram, "username" man ir šādi...

 

function is_username($username)
{

 return preg_match('/^[a-zA-Z0-9-_]{5,25}$/', $username);
 // What about "."?

}

if(!is_username($username)) {

 $_SESSION['human_error'] = 'The submited username is not valid!';
 redirect("{$root}/register.php");

}

[briedis]

Jebkurus datus, ko tu saņem var noviltot.

 

Ar php jebkurā gadījumā ir jāpārbauda saņemtie dati. Nevar ticēt nekam, kas nāk no lietotāja!

[daGrevis]

Jā, to es jau esmu sapratis. =)

 

Tikai, lietotājs var submitot jebkādus datus tagad. Tad es vienkārši ensaprotu kādu regex'u meklēt/taisīt?! =D Vai ne regex'u...

[briedis]

Viss atkarīgs no tā, kāda tipa dati ir vajadzīgi, un kādam nolūkam.

[daGrevis]

Pārbaude, kura, ja ir atķeksēta,ļauj reģistrēties. Pārbaudām, vai lietotājs piekrīt, ka ir vecāks par 13 gadiem.

 

if(!isSet($age)) {

 $_SESSION['human_error'] = 'You can\'t register if you are younger then 13!';
 redirect("{$root}/register.php");

}

[briedis]

jā, čekboksu var pārbaudīt ar isset($_POST['..'])

[daGrevis]

A kā vajag?? O.o

[briedis]

A kā vajag?? O.o

 

Uzprasi gūglei, izlasi un pieraksti pirmos 100 atgrieztos rezultātus. Izanalizē tos, un dari, kā vairums to dara :)

[Леший]

Vai nav tiesa, ka hakeris kaut vai ar to pašu FireBug var nomainīt "type" uz tekstu un tad submit'ot ko ļaunu? Škiet jā.

Priekš kam tāds čakars, ja ne GET, ne POST neatšķir lauku tipus? Tiem ir tikai fieldname un value. Čekbox value vietā var kaut Karš un miers ķīniešu tulkojumā aizsūtīt.

[emsy]

Čeckboksus un radio pogas ir jāpārbauda ar isset()

 

<?php
// 1) čekojam čeckboxu
if(isset($_POST['checkbox'])) {
// 2) čeckojam vai kāda no radio pogām ir iespiesta
if(isset($_POST['radio'])) {
// čeckojam kura radio poga ir piespiesta
if($_POST['radio']==1) {
// un reāli...
}
elseif($_POST['radio']==2) {
// ...šitās radio pogu values...
}
elseif($_POST['radio']==3) {
// ...pārbaudi ar PHP un nelaid klāt SQL, un viss būs oki ;) 
}
}
}
?>
<form action='' method='post'>
<input type='radio' name='radio' value='1' />
<input type='radio' name='radio' value='2' />
<input type='radio' name='radio' value='3' />
<input type='checkbox' name='checkbox' />
</form>

Edited May 31, 2010 by emsy

[daGrevis]

Tieši tā, man ar isSet() jau bija... Bet tikko man aizgāja. Kāpēc man viņas filtrēt, ja man vajag tikai uzzināt, vai ir atķeksētas... =/ Nav taču dotie dati jāsaglabā datubāzē vai jāparāda lietotājam. =)

P.S. Ņemšu vērā briedis padomu un sākšu domāt. =D

[aldis]

Inputiem, tekstiem - samet drošības pret injekcijām, kautvai pret javascript izpildi.. u.t.t.. :)

 

Bilžu augšuplāde, lai neielāde tuftu - izlaid caur GD2 visu... :)

[briedis]

Ja tev ir radio buttons, tad gan būs jāčeko vērtība...

bet to var darīt šādi:

 

switch($_POST['radio_poga']){
case 'vertiba1' : 
  //do stuff
  break;
case 'vertiba2' : 
  //do stuff
  break;
case 'vertiba3' : 
  //do stuff
  break;
default :
  //Defaultais stuffs (ja kāds h4x0rs mēģina ļevās vērtības iesūtīt)
}

Edited May 31, 2010 by briedis

[Леший]

briedis, switch..case neatšķir tipus, līdz ar to, viņam 0 būs vienāds ar 'asdf'. Labāk:

switch (true){
  case (a === b)
}

Par tēmu: labakais variants ir veidot sarakstu ar visiem iespējamiem variable nosaukumiem, katrai grupai piesaistīt validāciju.

[php newbie]

vai POST dati nav vienmēr string?