Данные посещений в файлах, Как хранить пользовательские данные в фалах

Что-то вроде такого написал, вопрос как легко убрать уязвимость? по идее можно закрыть строку, если подменить заголовок и там что то прописать

// Запись запроса по GET
    public static function setQueryGet( $id, $url, $referer, $get )
    { // все из $_SERVER
        $time = date("d-M(H:i:s)");
        
        if( !empty($get) )
            $get = base64_encode( serialize($get) );
        
        $string = 'parent='. $id 
                .' path='. $url 
                .' referer='. $referer
                .' get='.  $get 
                .' time='. $time 
                ."\n"; // пробелы для разделения

        self::writeFile( $id, $string, 'get' );  
    }

// Метод создания и записи в файл
    public static function writeFile( $id, $string, $mod )
    {
        $last = date("Y-m");
        $path = self::root . self::path .'/'. $id .'/'. $last .'-'. $mod;
        
        file_put_contents( $path, $string, FILE_APPEND );
    }

Это сообщение отредактировал sg.com - 6.04.2025 - 23:15

Какую?

Пример можешь привести?

к примеру, в $agent будет какой либо код который поломает логику, примера не знаю и не уверен как оно может работать, но чисто теоретически. Возможно ли по параметру $get закрыть ф. serialize раньше времени. Перечитал с 10 статей, конкретики мало пишут, все в общих чертах, что заголовки легко подменить на что угодно. Может все данные пропускать через ф. base64_encode и serialize, или json_encode?

Это сообщение отредактировал sg.com - 7.04.2025 - 11:44

Хранить данные в файлах достаточно просто в plain text, ну или в json для удобства.

>подменить заголовок и тд
А работать с данными нужно по тем же принципам, что и при работе с данными из других storage.

public static function setQueryGet($id, $url, $referer, $get) {
    // Валидация URL и Referer
    if (!filter_var($url, FILTER_VALIDATE_URL)) {
        throw new Exception("Invalid URL");
    }
    if (!empty($referer) && !filter_var($referer, FILTER_VALIDATE_URL)) {
        throw new Exception("Invalid Referer");
    }

    // Очистка управляющих символов
    $url = str_replace(["\n", "\r", "\t"], '', $url);
    $referer = str_replace(["\n", "\r", "\t"], '', $referer);

    // Сериализация данных
    $getData = !empty($get) ? base64_encode(serialize($get)) : '';

    // Формирование структурированных данных
    $data = [
        'parent' => $id,
        'path' => $url,
        'referer' => $referer,
        'get' => $getData,
        'time' => date("d-M(H:i:s)")
    ];

    $string = json_encode($data, JSON_UNESCAPED_SLASHES) . PHP_EOL;
    self::writeFile($id, $string, 'get');
}

public static function writeFile($id, $string, $mod) {
    // Защита от Path Traversal
    $id = basename($id);
    if (!preg_match('/^[a-z0-9_-]+$/i', $id)) {
        throw new Exception("Invalid ID");
    }

    $last = date("Y-m");
    $dir = self::root . self::path . '/' . $id;
    $path = $dir . '/' . $last . '-' . $mod;

    // Создание директории с безопасными правами
    if (!is_dir($dir)) {
        mkdir($dir, 0755, true);
    }

    file_put_contents($path, $string, FILE_APPEND | LOCK_EX);
}

наверное, если есть json_encode, сериализовать нет смыла.