» Безопасное программирование на PHP

Цитата:

register_globals boolean
Tells whether or not to register the EGPCS (Environment, GET, POST, Cookie, Server) variables as global variables. For example; if register_globals = on, the url http://www.example.com/test.php?id=3 will produce $id. Or, $DOCUMENT_ROOT from $_SERVER['DOCUMENT_ROOT']. You may want to turn this off if you don't want to clutter your scripts' global scope with user data. As of PHP » 4.2.0, this directive defaults to off. It's preferred to go through PHP Predefined Variables instead, such as the superglobals: $_ENV, $_GET, $_POST, $_COOKIE, and $_SERVER. Please read the security chapter on Using register_globals for related information.

Цитата:

Не понял, что за фича?

этот register_globals, это никакой не баг. где баг то?

Я сейчас занят написание движка для раздела Статьи, который работает с базой на MySQL, а не файле. Интересует какие ошибки связанные с безопасностью могу быть при кодинге скрипта для работы с MySQL?

Terabyte
главное не передавать данные прямо в запрос, тоесть не делать чтото типа:
.....WHERE id = $_GET['id']....
это вобще наверное единственная и самая распространенная ошибка.
везде юзай addslashes();

xntx
А как тогда передавать? Методом ПОСТ или как? =)

addslashes(); извините, г*вно полное......для защиты...
его используют только когда нужно чистый хтмл в БД загнать...
а ВСЕГДА И ВЕЗДЕ юзают:
htmlspecialchars($str,ENT_QUOTES);

А если я все таки захочу передать через параметр id открываемой строки, то я обезапашу себя от взлома таким вот действием:

addslashes($go);
$go=(int)$go;

Vaulter
слышь, ты пойди успокойся, чайку попей.
наверное не знаешь что в БД(если это чтото типа My/MSSQL) хтмл можно сувать незаслешивая
а с
Цитата:

htmlspecialchars($str,ENT_QUOTES);

ты ничего особенного не добьешься, даже напортишь все. т.к. будешь делать запрос по русскому слову, а оно превратится в чтото типа [q][/q]

Terabyte
можно и так, а можно например:

Код: $go = (!is_numeric($go)) ? 'mydie' : $go;
if ($go == 'mydie') die('Странный какой-то id получается... Сохраню ка я ваш IP на всякий случай');

А что значит:
$go = (!is_numeric($go)) ? 'mydie' : $go;
не мог бы пояснить =)

Terabyte

Цитата:

не мог бы пояснить =)

аналог if... else - просто запись другая.. покороче.
http://www.php.net/manual/en/control-structures.alternative-syntax.php

xntx

Цитата:

слышь, ты пойди успокойся, чайку попей.

спасибо за заботу, но я вообщето спокоен.

Цитата:

наверное не знаешь что в БД(если это чтото типа My/MSSQL) хтмл можно сувать незаслешивая

да что ты говоришь!...ну попробуй засунь строку <b>there's string</b> в БД......

эт ты наверное не в курсе, что на многих серваках стоит в PHP.INI такая строчка
magic_quotes=on
при которой просто во все POST переменные добавляется слэш по умолчанию.

Vaulter

Цитата:

да что ты говоришь!...ну попробуй засунь строку <b>there's string</b> в БД......

засунул, дальше что?

Цитата:

эт ты наверное не в курсе, что на многих серваках стоит в PHP.INI такая строчка
magic_quotes=on
при которой просто во все POST переменные добавляется слэш по умолчанию.

а это тут при чем? я то в курсе... но причем тут это я не понимаю.

Цитата:

наверное не знаешь что в БД(если это чтото типа My/MSSQL) хтмл можно сувать незаслешивая

Цитата:

засунул, дальше что?

опа! ну ка, запросец в студию попросим

Vaulter
insert into test (str) values ("<b>there's string</b>");

IntenT
хе ) ну хорошо хорошо ))
а строку
<b><a href="smth link" title="linka">there's string</a></b>

Vaulter

Код:
mysql> insert into t1 values ("<b><a href=\"smth link\" title=\"linka\">there's string</a></b>");
Query OK, 1 row affected (0.05 sec)

mysql> select * from t1;
+-------------------------------------------------------------+
| col1 |
+-------------------------------------------------------------+
| <b><a href="smth link" title="linka">there's string</a></b> |
+-------------------------------------------------------------+
1 row in set (0.00 sec)

Vaulter
это называется "слыхал звон, но не знаю где"...

вернемся к тому что ты сказал:

Цитата:

addslashes(); извините, г*вно полное......для защиты...
его используют только когда нужно чистый хтмл в БД загнать...
а ВСЕГДА И ВЕЗДЕ юзают:
htmlspecialchars($str,ENT_QUOTES);

1. не "г*вно полное", и не "только"
2. а зачем его юзать интересно "всегда"? если ты например делаешь query в базу по этому полю - то он тебе и не нужен. другое дело есло этот код потом может попасть в вывод на странице... тогда можно сделать XSS

Не много не в тему вопрос: вот допустим я в базу записал одинарную кавычку, но при выводе она первращается у меня почему то в одинарную. Как сдеать вывод из базы одинарной кавычки =)

Terabyte

Цитата:

записал одинарную

Цитата:

первращается у меня почему то в одинарную

Цитата:

вывод из базы одинарной кавычки

хм... и везде одинарные ))
посмотри на мой пред. пост. Там выводится именно одинарная, никаких проблем нет.

Давеча эту тему в жж поднимали. Ссылка.

vu1tur
Ну а вот у меня не пашет =(
Sergeant
И какое решение?

Terabyte
дык что у тебя не пашет? ты це сам написал: засовываешь одниарные, получаешь одинарные.
оно что, силами телепатии должно в двойные превращатся?

Terabyte, там в смысле тема собственно безопасности программирования (т.е. тема этого топика), а не конкретно мытарств с кавычками. Так что приведены общие рекомендации.

А вот еще вопрос по защите кода от взлома при кодинге PHP+mysql:
Допустим ссылкой source.php?go=wuftpd-freezer.c
Запршивается СКЛ комманда которая ищет в назначеном столбце запись из переменной $go и выводит всю строку в которая она находится. Вопрос: какие фильтры на значение переменной $go нужно поставить, чтобы через нее нельзя было исполнять СКЛ комманды?

Terabyte
addslashes(); и я думаю хватит

Мне ща посоветовали сделать просто запрос такого вида:
query="select text FROM $table where name_file='".$go."'";

Это будет выходом?

Terabyte
$query = "SELECT text FROM $table WHERE name_file = '$go'";

xntx
Ну у меня так и есть в данный момент =)

Terabyte
ну так и оставь

еще на одном форуме мне посоветовали mysql_escape_string
http://ru3.php.net/manual/ru/function.mysql-escape-string.php

Что конкретно она делает?

Terabyte
ну ты как издеваешься... слэши она добавляет, делает тоже самое что и addslashes()
ты сначала с тем что у тебя есть разберись, и попробуй это хакнуть...