PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Безопасная валидация данных

Форумы портала PHP.SU » PHP » Программирование на PHP » Вопросы новичков (Модераторы: OrmaJever, Саныч, Строитель)

Страниц (2): [1] 2 »

Без описания

Поиск в теме | Версия для печати

nepster	Отправлено: 14 Августа, 2013 - 14:34:11
Частый гость Покинул форум Сообщений всего: 195 Дата рег-ции: Июль 2012 Помог: 0 раз(а)	Подскажите пожалуйста, кто как работает с полученными данными, и каким образом вы делаете валидацию ? К примеру получаем следующие пост данные: PHP: скопировать код в буфер обмена Array ( [user_id] => 256 // автор новости [news_id] => 23 // новость, которую редактируем [news_name] => Новость [news_short] => Краткое описание [news_full] => Полное описание [news_date] => Дата публикации [news_status] => // например от -1 до 2 ) вот например есть функция PHP: скопировать код в буфер обмена public function news_edit($data) { // валидация данных } Собственно интересны методы какими кто обрабатывает данные, особенно через что прогонять строги, что бы защититься от sql инъекций

Мелкий	Отправлено: 14 Августа, 2013 - 14:45:00
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	nepster пишет: защититься от sql инъекций Препарированные запросы. Всё. Больше от инъекций ничего делать не нужно. Но это не является валидацией. Валидация должна заниматься вопросом "а какие данные тут должны быть?" (или же я путаю термины ) Например, что такая дата реально существует, а не 31 ноября. А статус - один из допустимых. ----- PostgreSQL DBA

esterio	Отправлено: 14 Августа, 2013 - 14:45:38
Активный участник Покинул форум Сообщений всего: 5025 Дата рег-ции: Нояб. 2012 Откуда: Украина, Львов Помог: 127 раз(а)	filter_var и вся ее братва

nepster	Отправлено: 14 Августа, 2013 - 14:56:45
Частый гость Покинул форум Сообщений всего: 195 Дата рег-ции: Июль 2012 Помог: 0 раз(а)	Ну например я делаю так: PHP: скопировать код в буфер обмена public function news_edit($data) { $user_id = (!isset($data[user_id]) OR !is_numeric($data[user_id])) ? 0 : (int)$data[user_id]; if(достать юзера из базы по $user_id) { return 'Пользователя нет в базе данных'; } $news_id = (!isset($data[news_id]) OR !is_numeric($data[news_id])) ? 0 : (int)$data[news_id]; if(достать новость из базы) { return 'Новости нет в базе данных'; } if(достать юзера из базы по $user_id) { return 'Пользователя нет в базе данных'; } /* Тут вот интересно как защитить данные для записи /* htmlspecialchars - это го же не достаточно/ $data[news_name] $data[news_short] $data[news_full] / if(!strtotime([news_date])) { return 'Некорректно указана дата'; } if(!is_numeric([news_status] )) { return 'Некорректно указан статус'; } // записываем данные в бд }

teddy	Отправлено: 14 Августа, 2013 - 14:58:10
Участник Покинул форум Сообщений всего: 1462 Дата рег-ции: Апр. 2013 Помог: 91 раз(а)	кстати... напишу то как делаю валидацию/фильтрацию данных, может пнёт кто если что не очень хорошо. Сначала задаю себе вопрос, "что я ожидаю получить, какие данные". Если например это целое число, то abs(intval($_POST['num'])); Если строка, то $db->real_escape_string($_POST['str']); тоже самое и с $_GET параметрами ну и для мыла filter_var Если нужен конкретный шаблон входящих данных, использую preg_match с модификатором u Ну а дальше уже по необходимости... типа if(strlen($var) < 3) {$error_str = "error";} (Отредактировано автором: 14 Августа, 2013 - 15:02:35)

EuGen	Отправлено: 14 Августа, 2013 - 15:08:56
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	teddy пишет: Если например это целое число, то abs(intval($_POST['num'])); Отрицательное число - тоже целое. Так что проверка соответствует утверждению "ожидается неотрицательное целое число". teddy пишет: Если строка, то $db->real_escape_string($_POST['str']); Любая строка предполагается к обработке в запросах? Вряд ли, поэтому обрабатывать следует только непосредственно перед вставкой данных в строку запроса (выше написали лучший способ - подготовленные запросы, prepared statements) ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

teddy	Отправлено: 14 Августа, 2013 - 15:30:58
Участник Покинул форум Сообщений всего: 1462 Дата рег-ции: Апр. 2013 Помог: 91 раз(а)	EuGen пишет: Отрицательное число - тоже целое. Так что проверка соответствует утверждению "ожидается неотрицательное целое число". Да, согласен. Я просто не так выразился EuGen пишет: Любая строка предполагается к обработке в запросах? Я имел ввиду тот случай, когда мы ожидаем приход обязательных данных, которые отправит пользователь. PHP: скопировать код в буфер обмена if($_SERVER["REQUEST_METHOD"] == "POST"){ $name = $db->real_escape_string(trim($_POST['name'])); $num = abs(intval($_POST['num'])); //или например if(!intval($_POST['num'])){ echo "Это не число!"; } } По разному делаю, в зависимости от того, что именно мне нужно в результате (Отредактировано автором: 14 Августа, 2013 - 15:32:32)

esterio	Отправлено: 14 Августа, 2013 - 15:38:39
Активный участник Покинул форум Сообщений всего: 5025 Дата рег-ции: Нояб. 2012 Откуда: Украина, Львов Помог: 127 раз(а)	nepster Кажысь Вам неоднократно писали про скобкы nepster пишет: isset($data['user_id']

nepster	Отправлено: 14 Августа, 2013 - 17:06:59
Частый гость Покинул форум Сообщений всего: 195 Дата рег-ции: Июль 2012 Помог: 0 раз(а)	Цитата: Кажысь Вам неоднократно писали про скобкы это как просто пример, брал данные из распечатанного pint_r массива. такой вопрос, тоесть мой вариант кучи if приемлемый ?

esterio	Отправлено: 14 Августа, 2013 - 17:14:34
Активный участник Покинул форум Сообщений всего: 5025 Дата рег-ции: Нояб. 2012 Откуда: Украина, Львов Помог: 127 раз(а)	nepster Я выше говорил что стараюсь пользоваться функционалом даной функции http://php.net/manual/en/functio...-input-array.php Тоесть у меня получаеться конфиг-массив. И уже в контроллере я просто указиваю етот массив, и на выходе получаю отфильтрованые данные(число включая диапазон, емейл, регуляркы для болле сложных и т.д.)

nepster	Отправлено: 14 Августа, 2013 - 17:16:16
Частый гость Покинул форум Сообщений всего: 195 Дата рег-ции: Июль 2012 Помог: 0 раз(а)	а как тогда отловить код ошибки ?

esterio	Отправлено: 14 Августа, 2013 - 17:26:16
Активный участник Покинул форум Сообщений всего: 5025 Дата рег-ции: Нояб. 2012 Откуда: Украина, Львов Помог: 127 раз(а)	ну а почитать сложно Цитата: Значение массива будет FALSE, если фильтрация завершилась неудачей, или NULL, если переменная не определена

teddy	Отправлено: 15 Августа, 2013 - 14:53:11
Участник Покинул форум Сообщений всего: 1462 Дата рег-ции: Апр. 2013 Помог: 91 раз(а)	Мелкий пишет: Препарированные запросы. А можно подробнее про это? Я не пользуюсь подготовленными запросами, поэтому хотелось бы получить ответ на несколько вопросов. Есть например такой код PHP: скопировать код в буфер обмена $db = new mysqli("localhost", "root", "", "DBname"); $stmt = $db->prepare("INSERT INTO `test` (`s_field`, `i_field`, `i_field`) VALUES(?, ?, ?)"); $stmt->bind_param("sii", $sField, $iField0, $iField1); $sField = "text"; $iField0 = 123; $iField1 = 456; $stmt->execute(); Чем отличается такой запрос от обычного? Ведь все равно в запрос подставится то что будет в переменных. Или тут сначала выполнится запрос, а потом уже подставятся значения? Не совсем понятно честно говоря... Если так, то логика не совсем ясна... Или может просто мы говорим: "Приготовься выполнить этот запрос и только этот, и если прилетит что то левое, то принимай это как обычные данные и не в коем случае не подставляй в запрос" И почему когда кол-во передаваемых параметров не совпадает кол-ву полей в БД интерпретатор плюется ошибкой? В обычных запросах вроде как нет... или может есть специальные настройки что бы это отключить? (Отредактировано автором: 15 Августа, 2013 - 14:56:04)

LIME	Отправлено: 15 Августа, 2013 - 15:02:56
Активный участник Покинул форум Сообщений всего: 10732 Дата рег-ции: Нояб. 2010 Помог: 322 раз(а)	мне вот тоже интересно почему подготовленные лучше? ведь это как минимум 2 запроса вместо 1го(для одиночного запроса конечно) какой такой случай инъекции возможен при использовании real_escape_string от которого спасет препарирование? (Добавление) teddy пишет: Чем отличается такой запрос от обычного? Ведь все равно в запрос подставится то что будет в переменных. тем что сначала в бд улетает запрос с плейсхолдерами а затем летят отдельно данные и подставляются в запрос(в транслированный уже план запроса) в этом случае данные рассматриваются как данные и не парсятся на предмет управляющих символов (Добавление) выгодно для циклов одинаковых запросов (Добавление) teddy пишет: может пнёт кто если что не очень хорошо. незнаю пнет ли это тебя но я вот как-то так сделал PHP: скопировать код в буфер обмена $post = ['id' => ['filter' => 257, 'flags' => FILTER_REQUIRE_SCALAR, 'options' => ['min_range' => 1]], 'col' => 513, 'val' => 513]; if (!in_array(FALSE, $post = filter_input_array(0, $post), 1)) { $post['val'] = (is_int($post['val']))? : '"' . $post['val'] . '"'; $result = DB::query('UPDATE apartment SET `' . $post['col'] . '`=' . $post['val'] . ' WHERE id=' . $post['id']); echo 'ok'; } вместо циферь в пост можешь сначала проставить человеческие константы чтоб понятней было (Отредактировано автором: 15 Августа, 2013 - 15:04:57)

teddy	Отправлено: 15 Августа, 2013 - 15:34:51
Участник Покинул форум Сообщений всего: 1462 Дата рег-ции: Апр. 2013 Помог: 91 раз(а)	LIME пишет: тем что сначала в бд улетает запрос с плейсхолдерами а затем летят отдельно данные и подставляются в запрос(в транслированный уже план запроса) в этом случае данные рассматриваются как данные и не парсятся на предмет управляющих символов Спасибо LIME пишет: человеческие константы чтоб понятней было Почитал в мануале, приблизительно разобрался, но как по мне мудрено как то... мне проще явно привести к типу одной строкой а потом уже писать различные условия для валидации если это требуется...

Поиск в теме | Версия для печати

Страниц (2): [1] 2 »

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Вопросы новичков »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.