Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Безопасность [2]

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (2): « 1 [2]   

> Описание: Обработка входящих данных
Поиск в теме | Версия для печати
Ammy
Отправлено: 11 Января, 2010 - 13:42:26
Post Id



Частый гость


Покинул форум
Сообщений всего: 140
Дата рег-ции: Сент. 2009  


Помог: 0 раз(а)
Благодарю всех вас за активное участие в данной теме!
Не нарушая традиций, выкладываю ещё один более безумный пример "защиты данных", найденный мною несколько минут назад. В виде статьи / документации.

Ссылка

Собственно, ещё один пример того, как не следует поступать.
Скачать файл: DataFiltrPHP.pdf
Скачан раз: 109
 
 Top
Champion Супермодератор
Отправлено: 11 Января, 2010 - 13:47:21
Post Id



Активный участник


Покинул форум
Сообщений всего: 4350
Дата рег-ции: Авг. 2008  
Откуда: Москва


Помог: 57 раз(а)
Ammy пишет:
Ссылка
Да, без комментариев
 
 Top
valenok Модератор
Отправлено: 11 Января, 2010 - 13:58:37
Post Id



Здесь могла бы быть ваша реклама


Покинул форум
Сообщений всего: 4574
Дата рег-ции: Июль 2006  
Откуда: Israel


Помог: 3 раз(а)
Мне наверное никогда не понять какое вообще программисты имеют право на изменение чужих введенных данных.


-----
Truly yours, Sasha.
 
My status
 Top
EuGen Администратор
Отправлено: 11 Января, 2010 - 14:01:24
Post Id


Профессионал


Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007  
Откуда: Berlin


Помог: 707 раз(а)
Тем не менее изменяете их.
Ну и тогда уж, какое право имеют хакеры на взлом приложений.
Вообще, способ представления данных часто изменяет их из "исходного вида". Так что все в порядке вещей, я думаю.


-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
 
 Top
valenok Модератор
Отправлено: 11 Января, 2010 - 14:14:08
Post Id



Здесь могла бы быть ваша реклама


Покинул форум
Сообщений всего: 4574
Дата рег-ции: Июль 2006  
Откуда: Israel


Помог: 3 раз(а)
Хакеры и не имеют, часто и не могут. Мало того, я их вовсе не изменяю.


-----
Truly yours, Sasha.
 
My status
 Top
EuGen Администратор
Отправлено: 11 Января, 2010 - 15:39:32
Post Id


Профессионал


Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007  
Откуда: Berlin


Помог: 707 раз(а)
valenok пишет:
$id = @intval($_POST['id']); if(!$id) throw ..

valenok пишет:
имейлы проверяю регуляркой + на сопутсвующие mx записи во избежании ввода несуществующих адресов.

Иногда пользуюсь фильтрами валидации (validation filters)

Я про это. В общем-то, пользователь увидит то, что делал, конечно, но в строгом смысле это модификация. Ладно. Это все уже похоже на демагогию, которой можно легко замусорить тему.


-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
 
 Top
STRELOK
Отправлено: 11 Января, 2010 - 21:56:12
Post Id



Гость


Покинул форум
Сообщений всего: 101
Дата рег-ции: Янв. 2010  
Откуда: Ульяновск


Помог: 0 раз(а)
valenok пишет:
Как поступаю с данными я.

Прием данных.
Никаких magic_quotes, автоматических добавлений всяких слэшей и прочей галиматьи.

Обработка данных
Числовые данные сначала преобразаую инвалом, потом проверяю на отличие от нуля.

Порой даже не проверяю на их присутсвие, если они там должны быть.
$id = @intval($_POST['id']); if(!$id) throw ..

имейлы проверяю регуляркой + на сопутсвующие mx записи во избежании ввода несуществующих адресов.

Иногда пользуюсь фильтрами валидации (validation filters)

Никогда и не при каких условиях не изменяю вводимые данные ( никаких стрип тагс, стриптиз, санитайз фильтров и любых других преобразований.

Ввод данных в БД
Любый строковые данные обязательно подвергаются обработке mysql_real_escape_string или чем-то подходящим для вашей конкретной БД.
Даже если мы 3 раза проверили имейл регулярками.
Всегда строки в запросах заключаются в кавычки.
Числа тоже, хоть mysql их и преобразовывает.
Все числа вводятся только после intvala (который я выполняю на этапе приема данных)

Вывод из БД
Любые данные из БД выводятся после обработки htmlspecialchars( , ENT_QUOTES);


а как проверить mx запись при проверке мыла?
 
 Top
valenok Модератор
Отправлено: 12 Января, 2010 - 10:18:42
Post Id



Здесь могла бы быть ваша реклама


Покинул форум
Сообщений всего: 4574
Дата рег-ции: Июль 2006  
Откуда: Israel


Помог: 3 раз(а)
Intval применяю только к тем данным которые просто обязаны быть числовыми, как Id чего нибудь.

Проверку на mx записи можно осуществить так:
PHP:
скопировать код в буфер обмена
  1. <?
  2. function check_email($mail)
  3. {
  4.         $host = explode("@",$mail); $mxarr = array();
  5.         if (function_exists('getmxrr') && !getmxrr($host[1],$mxarr)) return false;
  6.         if (filter_var($mail, FILTER_VALIDATE_EMAIL)) return false;
  7.         return true;
  8.  

}


-----
Truly yours, Sasha.
 
My status
 Top
Поиск в теме | Версия для печати
Страниц (2): « 1 [2]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« Программирование на PHP »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB