Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Безопасное имя директории
Покинул форум
Сообщений всего: 56
Дата рег-ции: Март 2010
Помог: 0 раз(а)
Здравствуйте, для файлового менедежра встал вопрос о реализации проверки корректности ввода пользователем новой директории.
Нуж но составить регулярку, но перед этим хотелось бы ничего не упустить.
Запрет на:
- точка в начале
- пробелы в начале и в конце
- знаки / и \
- знак %
- имя не меньше 1 символа
При этом хотелось бы учесть возможность использования как кирилицы так и латиницы, а также цифр конечно же.
Подскажите может я что упустил?
Мелкий
Отправлено: 11 Июля, 2010 - 16:46:09
Активный участник
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
зачем регулярка? basename, strlen и strpos (если вам так % и точка не нравятся, хотя это полностью нормальные символы)
----- PostgreSQL DBA
puta
Отправлено: 11 Июля, 2010 - 16:54:27
Новичок
Покинул форум
Сообщений всего: 56
Дата рег-ции: Март 2010
Помог: 0 раз(а)
т.е. достаточно будет проверить размер строки, отбросить слеши и пробелы в начале и в конце и этого будет достаточно для безопасного создания директории имя которой задаёт пользователь?
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
Достаточно только убрать слэши (при том, если хостинг на *nix - то только /, а "\" путём не является). Пробелы так же никому не мешают в файловой системе, а нулевая длина - просто подсказывать пользователю, что он ошибся. Дыры в этом так же нет.
К тому же, создание директории ещё ничему не вредило.
----- PostgreSQL DBA
puta
Отправлено: 11 Июля, 2010 - 17:19:20
Новичок
Покинул форум
Сообщений всего: 56
Дата рег-ции: Март 2010
Помог: 0 раз(а)
ок, спасибо. на счёт пробелов - сталкивался с проблемой когда через фтп невозможно было удалить или переименовать файлы начинающиеся с пробелов.
Champion
Отправлено: 11 Июля, 2010 - 17:51:00
Активный участник
Покинул форум
Сообщений всего: 4350
Дата рег-ции: Авг. 2008 Откуда: Москва
Помог: 57 раз(а)
puta пишет:
отбросить слеши и пробелы
Моё личное мнение: не надо ничего отбрасывать и вообще изменять пользовательские данные. Лучше сообщить пользователю об ошибке и не обрабатывать такие имена.
JustUserR
Отправлено: 12 Июля, 2010 - 21:45:54
Активный участник
Покинул форум
Сообщений всего: 8715
Дата рег-ции: Июнь 2009
Помог: 17 раз(а)
puta пишет:
На счёт пробелов - сталкивался с проблемой когда через фтп невозможно было удалить или переименовать файлы начинающиеся с пробелов
Видимо неправильная обработка начальных пробелов является особенностью конфигурации FTP-сервера или клиента - это же относится к файлам имя которых начинается с точки и которые трактуются как скрытые файлы и могут не показываться без добавления опции -a в команде листинга
При создании директорий устанавливайте требумого владельцева и права доступа - а также обратите внимание на права доступа к основой директории внутри которой будут создаваться вложенные - если не давать лишних широких прав доступа то пользователь не сможет навредить вам Если указанный ресурс уже существует то нужно произвести соответствующую проверку - чтобы содержимое папки не было затерто определенным образом
Также внимание следует обратить на кодировку вводимых данных - чтобы окончательная их проверка регулярными выражениями уже шла относительно той же внутренней кодировке которая будет использоваться в системных вызовах
----- Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/
puta
Отправлено: 15 Июля, 2010 - 16:40:23
Новичок
Покинул форум
Сообщений всего: 56
Дата рег-ции: Март 2010
Помог: 0 раз(а)
Ок, спасибо. Ещё один вопрос связанный с именами и файловым менеджером. Собственно проверяю теперь имя файла для двух действий: переименование файла и загрузка файла.
Нашёл вот такую функцию для удаления "лишних" символов. Вопрос в следующем, разумно ли использовать эту функцию и на выходе проверять чистый вариант с вариантом который ввёл пользователь. Если не сходятся либо выводить ошибку либо сохранять чистый вариант в зависимости от конфигурации или же стоит написать регулярку для этих вещей?
Покинул форум
Сообщений всего: 8715
Дата рег-ции: Июнь 2009
Помог: 17 раз(а)
puta пишет:
Ок, спасибо. Ещё один вопрос связанный с именами и файловым менеджером
Пожалуйста! В принципе самым эффективным и надежным способом в таком случае является распределение прав доступа на основе возможностей самой ОС - например за счет использования модулей динамического переназначения прав доступа
puta пишет:
Или же стоит написать регулярку для этих вещей?
Регулярные выражения и строковые функции не сильно отличаются между собой - и поэтому если у вас имеется хорошая проверочная функция на чистых строковых функциях то имеет смысл оставить ее без изменений
puta пишет:
Забыл уточнить - проверяется только имя без расширеня. расширение я проверяю по списку
допустимых их соответствующего массива
Вообще расширение файла можно не ограничивать никаким образом - ведь за счет использования shebang-строки имеется возможноть запуска программного кода из файла с любым расширением - и гораздо важнее ограничить права на исполнения файлов пользователя или же ограничить возможности и права доступа запускаемого процесса
----- Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/
puta
Отправлено: 16 Июля, 2010 - 10:55:07
Новичок
Покинул форум
Сообщений всего: 56
Дата рег-ции: Март 2010
Помог: 0 раз(а)
спасибо за расширенный ответ, на ваш взгляд предложенная мной функция в достаточной мере проверяет строку?
JustUserR
Отправлено: 16 Июля, 2010 - 15:04:55
Активный участник
Покинул форум
Сообщений всего: 8715
Дата рег-ции: Июнь 2009
Помог: 17 раз(а)
puta пишет:
Спасибо за расширенный ответ, на ваш взгляд предложенная мной функция в достаточной мере проверяет строку?
Пожалуйста! В принципе вашей функции в большинстве случаев должно хватить для прорвеки разрешенного файлового пути внутри каталога пользователя - тем не менее для повышения безопасности можно сделать функцию которая проверяет не запрещенные символы а только пропускает разрешенные Такой подход удобен тем что во-первых если вы забудете указать какой-то разрешенный символ то введенный путь будет оставаться безопасным - и во-вторых это лучше согласуется с различными кодировками Дело в том что ОС работает с консольными командами и файловыми путями в определенной кодировке - и если она вдруг будет отличается от таблицы символов в которых представлены данные внутри PHP-скрипа - то он сможет и не найти в ней запрещенные символы если пользователь успешно создаст соответствующие HTTP-заголовки и строку запроса - в то же время если оставите только разрешенные символы то при любых попытках манипуляции с кодировками запроса PHP-скрипт их попросту не пропустит
----- Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.