а не проще ли использовать функцию is_numeric($_GET["id"]) ?

добавлю к ответу linedmk:

if (!array_key_exists ('id', $_GET)
|| !is_numeric ($_GET['id']))
die ('ID is invalid or not defined');

Поясните пожалуйста.

Я, конечно, интуитивно догадываюсь, но все же, хотелось бы уточнить.

А что тут не понятного? Проверяем, есть ли id в массиве $_GET и является ли оно числом. Если нет, то завершаем работу скрипта и выводим сообщение "ID is invalid or not defined"

оригинальна!

можно вот так еще.

Может вы strlen имели в виду?) И тут скорее && больше подойдёт чем || (-

да. я ошибся. и действительна подойдет && . чет я глуканул

Т.е. если в строке адреса ввести

переменная id не попадет в массив $_GET?
Я пробовал, вроде попадает.

К примеру, я не хочу, что бы пользователь мог увидеть данные с id=1003.
Ссылки с такой переменной на странице нет.
Если он введет "index.php?id=1003", то id станет $_GET['id']=1003.
И как следствие будет существовать и будет числом.
Тогда не вижу смысла проверять, существует ли она и является ли числом.

Или я что то не понимаю, или чего то не знаю.
Ребята, не судите строго, я совсем недавно начал изучать PHP, а мне на плечи уже свалилось серьезное приложение.

Дело в том, что эта переменная идёт в SQL запрос и её за просто можно подменить, например, вставить закрывающуюся кавычку и выполнить произвольную команду на БД. Из-за этого мы проверяем является ли числом переменная $id в массиве $_GET или нет. А если её не существует, то и проверять не надо, сразу выдаём 'ID is invalid or not defined'

Охо.. я и не думал об этом.
Я это учту, спасибо большое.

Как я понял, это работает, только если переменная - число.
А если это буквы?
Резать запрещенные символы?

http://www.php.su/functions/?mysql-real-escape-string

хоть один нормальный ответ

А как обстоят дела с массивом $_POST.
Тут есть какие-нибудь пути подмена переменных?

ПЕРЕменные , которые передаются методом пост, тоже можео подменить и их значение. так чо нет разницы - пост или гет. режть все спцсимволы

Спасибо!

А чем хуже str_replace('\'','',$_POST['text']); ///????!!!

тем

без комментариев...

чё-то так зацепило твоё слово "оригинальна!".
Это плохой способ проверки по-твоему? Или "люди так не пишут"?

так пишут всякие олени которые делаю счетчик для свой хоум пейджи, а кто реально занимается разработками не пишут такое говно. почему? да потому что это не расширяемо, представляете каждый раз так писать в 2-5 метрах кода. ну вас нахрен с такими мыслями )

Ну, а коли ты "не алЕнь", то поделись с сирыми и убогими, как пишут "чИста реАльные пацанЫ"

ну реальные пацаны пишут с использованием prepared statements (гопники всякие) ну или с изощренными методами + использование mysql_real_escape_string. я кажется до этого писал что так правильно.

я правильно понимаю, по твоемУ способоу всё равно нужно каждую значимую (в теме примера - id) переменную проверять с использованием функции mysql_real_escape_string ()?

да, вопрос только как

я например пишу нечто вида

q("select * from users where username='{0}' and password='{1}'",$username,$password);

удобно и безопасно

а проверять всегда данные нужно, но можно конечно надеяться на говнорежим magi_qotes_runtime и тп, но это не для меня, простите.

ты пишешь код q(..., $username, $password).
А где и как ты проверяешь, что данные есть?
И как проверяешь, что $username, скажем не равно '; DELETE FROM `users` WHERE `id` NOT NULL ';

а зачем проверять, если {0} - экранированная версия username'a ??? мыслите шире и будет вам счастье

получится в моем примере select * from users where username='\'; DELETE FROM \`users\` WHERE \`id\` NOT NULL \'; ' and password='lalal'. забавное имя ползователя окнечно, но в коеечном итоге выбор за ним

bearman, лексикон у тебя прикольный

стараюсь )))

если честно, ты мне новую галактику не открыл, но мне интересно, как ты проверяешь переменные на входе?
пусть есть 3 странички news.php, article.php и item.php
В 1-ую передаётся (GET) переменная newsId, во вторую articleId и в третью itemId.

Какой же у тебя есть "универсальный" механизм проверки данных? (напомню, что все указанные переменные а) должны существовать б) должны быть целым числом)

зачем проверять их на целочисленность? если будет нечто вида selec * from table where id= и тут поставить "z" то просто ничего не найдется это раз. на незаполненость - два.

скажу больше что у меня есть класс
и делаю я нетчо вида
if(!$item = $db->get("items",$_GET['id']))
{
die(404);
}

понятна суть? а вот гет уже делает проверку на существование переменной, то что целое число вообще никогда не проверяю :-D
нахрена?) время разве что тратить впустую.

По идее, код if(!$item = $db->get("items",$_GET['id'])) должен вызвать Notice если id не существует.
так?

error_reporting(E_ALL & ~E_NOTICE);


и ничего не увидите.

мне обычно насрать на передан ли параметр, если невозможно скл инъекция, мне более интересно нашелся ли элемент

Я так и понял.
ИМХО, подавление предупреждений - это зло.
Поэтому мы ("алени") пишем array_key_exists.

Каждый выбирает так, как ему больше нравится

сколько по времени у вас занимает написание полноценного сайта с галереей картинок, новостями статьями, допустим формой заказа, каталогом продукции с 0? допустим используя ваш фреймворк.

я думаю около 2-3 недель (это если с нуля писать).

а я дня 2-3 отсилы. вот об этом я и говорю, что если не делать никому не нужные проверки, а просто написать вещь при которой можно тупо не делать такие вещи, то скорость значительно вырастает

bearman, я согласен с вами, что можно писать без проверок (или с минималным их кол-вом) + отключить нотисы. Тогда действительно можно написать за 2-3 дня.

Что главное? Безопасность.
Если сайт используется в нормальном режиме - то и отображение идет красивое и правильное.
Если юзер начинает с параметрами мудрить и ковырять, то пофиг как это будет отображаться - главное не показать ему недозволенного!

Зачем проверять "передан ли параметр", какого типа параметр пришел и т.д.
Как по мне стоит перекрыть в корне возможность инъекций и на этом точка. Заменил юзер строку вызова - получил бредовую страницу -- сам виноват. Тут главное не пропустить инъекцию и всё тут.

какбы я об этом и говорю)))))

а проверять - мещанство(как бы для смертных потеха, ну и кому девать время некуда). вполне достаточно экранирования символов, единственное чтобудет - форму редактирования пустуя покажет и все или пустую страницу с товарами, но у меня обычно 404 страницу показывает.

кстати как вы думаете, дурной ли тон вешать банеры на 404 страницу + показывать как много людей сюда попали?

думаю, это как минимум забавно )))
+ сделать через ajax счётик "На 404 страничке сейчас online: Х юзеров"

Думаю логичней на 404 поставить типа "Если Вы сюда попали случайно - поведайте мне на мыло как -- это ошибка. Ну а если ищите инъекции, то сообщаю Вам: "Ваш вариант не прошел" " :-) типа такого.

Друг у меня есть - любитель поиска инъекций где и как хоч.
На одном проекте поспорили, найдет ли он у меня чего-нить иль нет.
Вся защита состояла из одного правила "никаких ручных собираний запросов по кускам - только полный запрос с использованием параметров".
Типа не пишем
А пишем
Процедура db_query - простая обертка пхпшной функции запроса, которая экранирует всю фигню в параметрах.

Вот такая "концентрация" за безопасность отвечающего кода в одну функцию полностью устранила возможность инъекций -- друг так ни одной и не нашел.

Вторая функция-обертка использовалась для чтения данных БД -- она экранировала нафиг все HTML теги в читаемых данных - тким макаром с БД у меня вылазил уже безопасный код - никакого JS-кода уже встроить в страницу не получится.

И усё

Ребята! Это, конечно, все хорошо, но только я не понял главного.

Как экранировать спец символы?
Можете привести код?
С переменной $_GET['id'].

mysql_escape_string

Попробовал осуществить инъекцию в запрос:

пример инъекции:


получилось следующее:


Все верно?
Просто если не использовать mysql_escape_string();
то запрос с инъекцией выглядит так:


Как я понял перед спец символом ' вставляется \ в случае без mysql_escape_string();
, а с использованием mysql_escape_string(); вставляется \\\.

ммм... http://php.ru/manual/security.magicquotes.html, http://php.ru/manual/function.get-magic-quotes-gpc.html
В общем, что бы кавычки не экранизировались, в .htaccess

Видать точно включен http://php.ru/manual/function.get-magic-quotes-gpc.html -- отключите его нафиг -- только путанины добавляет.

Этот режим автоматически экранирует все спецсимволы. Таким макаром:
вы ставите ' -- магик экранирует \' ... а потом вы экранируете через mysql_escape_string() -- получаете:
экранируем ' -> \'
экранируем \ -> \\
В итоге, используя mysql_escape_string() при включенном мэйжик получаем не '-> \' , а ' -> \\\'

Так.. а какой тогда смысл в mysql_escape_string();
если, magic_quotes_gpc все сама экранирует?

Вот выцарапал функцию о которой выше говорил.

Допустим есть запрос:
$sql = select * from table where a=:nnn and b = :mmm

Слова, начинающиеся с двоеточия - параметры. (не попадитесь - в комментариях параметров быть не должно, в параметрах допустимы только буквы)

Два варианта использования:
первый
$res = my_db($sql,'value for :nnn','value for :mmm') => указываете запрос и параметры в порядке "как в запросе"
Этот вариант удобен, когда параметров мало и они не повторяются.

второй
$params = array('nnn'=>'value for :nnn','mmm'=>'value for :mmm');
$res = my_db($sql,$params); => Удобен, при большом к-ве параметров или их "повторении" в запросах типа '... where a = :P or b = :P and d = :v'

___
P.S.
Сколько по коду не лазил у себя - не нашел варианта с использованием второго варианта ... уже не помню ... кажись второй вариант появился под конец проекта, посему не гарантирую его работу :-) хотя работать должен.

Попишите - увидите :-)
Отключив автомат Вы получаете КОНТРОЛЬ над экранированием, что намного удобней в данном случае.
Например. Юзер вводит адрес "ул.Плюшкина 34\12" ... к Вам приходит строка "ул.Плюшкина 34\\12" ... юзер редактирует название улицы и не замечает, что слешей два ... при сохранении изменений будет записано "ул.Плашкина 34\\\\12" и т.д.

Можно либо ручкми все экранировать или резать или использовать mysql_expape_string() Я так и не пойму КАКИЕ дебилы пишут скрипты без проверок???????? Можно же такойй урона нанести сайту...

___
P.S.
Krist_All оказался прав. Если не использовать проверки, то можно нанести урон сайту. Причем, урон можно нанести не только своему сайту, но и посещаемым тобой.

Яркий пример.
На сайте Mobile-proff.ru ищем дырку, узнаем пароль админа, который по совместительству является и модератором на ЭТОМ форуме.
Заходим на сайт phpforum.ru под логином Krist_All и начинаем творить чудеса :-)
Мы ж не звери ... поэтому для примера только отредактировали этот пост :-)

Набросал функцию фильтрации данных и для SQL и вообще для всего остального.

Ваши комментарии...

Не помню работу функций ... у вас они друг-друга не экранируют?

Вы подразумеваете "ручную" вставку значений в запросы. Таким макаром, Вы ВСЕГДА ручками должны обеззараживать значения при вставке, обрамляя КАЖДЫЙ из них своей функцией. В этом и кроется опасность. Если Вы один раз забудете использовать свою функцию, то появится дырка.

Именно при таком подходе и получаются дырявые сайты -- тут нет инъекции, а тут, когда писали в 3 ночи, - дырка есть.

Предложенная мною функция и была написана для этого -- как ни старайся - никакое значение в запрос без дезинфекции не пройдет.

К тому же всегда используются "полные" запросы, которые можно отладить в любой нормальной среде администрирования БД.

___
P.S.

Krist_ALL, на мой взгляд, Ваше рвение в админы/модераторы и смысл Вашего поста -- не совместимы ... Вы уж определитесь - или Вы флудер или админ :-)

Я не понимаю вашу функцию, распешите по подробнее.

Благодарю.

замените последнюю строку строку на return $sql
попробуйте запуски с разными параметрами - функция будет возвращать готовые к выполнению запросы.



Типа такого - увидите как работает ... объяснить -- это почти трактат о PHP :-)

mysql_real_escape_string кстати более безопасна для двоичных данных и учитывает кодировку:

http://www.phpfaq.ru/all#slashes_rightusage
http://habrahabr.ru/blogs/webdev/40458/

не твое дело

Krist_ALL, какой из тебя модер, если ты даже с людьми, разговаривать не умееш...
+ Орфографических ошибок дофигища)
Сорри за оффтоп)

*жуёт попкорн*
[closeread]

к слову, насчёт волшебных кавычек

Например получение данных из БД на сайте где ты Администратор, руководитель проекта??? (http://mobile-proff.ru/komanda.php)




P.S. ответь мне сейчас искренне на вопрос: ты считаешь себя дебилом или нет?

Nezabivaemiy =)
Krist_ALL, там еще поменяй возле логинилки запомнгить, при регистрации - же вЫ сможете, забудите, зарегестрироватЬся, еще поправь ошибки на главной

О инъекциях знал только теорию ... но на Вашем,Krist_ALL , сайте прошел от теории к практике за 10 минут :-)

Хотя пароль у Вас хороший стоит и буквы и циферки ... "Ворота крепкие, да только стены хлюпкие"

Что бы не быть флудером, добавлю и полезного в пост. О своей функции.
Добавил комментариев http://www.phpforum.ru/index.php?showtopic...ost&p=53308

Там используется возможность функции "замена по регулярке" перед подстановкой текста, замены выполнять его как PHP-код. И замена происходит НА РЕЗУЛЬТАТ этой замены.
смотрим строку:
Ищется код "двоеточие и кучка букв" и заменяется на резултат выполнения кода mysql_escape_string($f_params[$i++])
$i у нас вначале ноль, а потом, благодаря ПОСТ-инкременту увеличивается на единицу.
Таким макаром у нас каждый следующий параметр (двоеточие и кучка букв) в тексте запроса постепенной заменяется на элементы массива f_params.

Такой же механизм применяется и в втором варианте, но там по массиву проход идет не просто от начала к концу, а с массива выбирается тот элемент, индекс, которого указан в имени параметра.

____
P.S.
krist_ALL, не стоит так бурно реагировать на слова людей.
Никто зла Вам не желает (пароли ж тут не показывают Ваши и дырки тоже при себе мы с Незабываемым оставили).
Вам только пытались сказать, что не стоит быть столь категоричным в своих утверждениях. (как видите Ваши злые слова именно с Вами сыграли такую же шутку.)
Да еще ... про безопасность. Если Вы уж модератор, на этом сайте, то хоть пароль не ставьте такой же, как на Вашем "дуршлаге", а то подставляете не только себя. но и этот сайт.

+ присоединяюсь



Именно это я и хотел сказать в своем предыдущем сообщении...

Так...
1. Очень зол что взломали мой сайт.
2. Думаете я не находил инекций на других сайтах?
3. Узнали мой пароль эт плохо, но вы смогли сделать что то с сайтом? Ан нет.
4. Если не трудна, напишите мне в аську 422271188 и раскажите баги сайта...
5. Кто спрашивал про дебила? Сам дебил
6. Модератор? Я не модер, эт ток написана, а у мну прав нет шоб удалить тему

Krist_ALL, уверяю - пощадили, не хотели просто

а баги у тебя при отображении статьи, а также при регистрации... инъекции на лицо

1. В статьях защита хорошая! Не верю шо там баг. Гоните 100% т.к там проверка ид на ис_нумерик и стрлен!
2. Пощадили? Да иди ты знаешь куда со своей пощадой! Я те устрою

вообще-то признаюсь, что я Krist_ALL лох.. извините

Вот Ваш логин .. .какая страница? http://mobile-proff.ru/articles/nastrojka_...%20from%20users
Какая защита! Испанская? Нумерик говорите?

А под этим логином можно зайти в админку форума на том сайте http://mobile-proff.ru/articles/nastrojka_...s%20limit%201,1

странно..люди вроде помогают, а столько агрессии...

- уже говорит о многом...

По структуре твоей базы ... не нужно делать кучу таблиц "моддинг" "секреты" "разное" и т.п. -- всё это СТАТЬИ.

Заведи одну таблицу СТАТЬИ ... добавь еще одно поле "тип статьи" и по нему разделяй моддинг/секреты/и т.п.
Для полной красоты сделай вторую таблицу "ТИПЫ СТАТЕЙ" с полями номер типа и название типа.

Так и поиск легче делать (всё в одной статейке) и данные записывать можно одним запросом, а не разные запросы под каждый тип. Так, смотри, и инъекций поуменьшится :-)

если ты все же проверяешь id - is_numeric() и strlen() - если одним условием, то убедись, что соединяешь их логическим И, т.е.



а не



а вообще рекомендую intval()

http://ru2.php.net/intval

1 - если люди узнают твой логин и пароль из базы, то наверное защита не такая и хорошая
2 - это ты зря так.. =)
С сайтом можно сделать что хочешь, начиная от того, что создать исполняемый файл, заканчивая тем, что можно угнать домен, и хостинг Будь аккуратнее со словами!

Чирс!

Какой я нехороший. сейчас меня будет мучать совесть...


Главное искать их не чужих сайтах, а на своих...


Целью не было что-то сделать с сайтом, целью было показать тебе, что нефига кричать про дебилов, которые не проверяют входящие данные, в то время как на своем сайте есть такие дыры


После твоего тона общения. не думаю что тебе начнут помогать...бойся чтобы и аську не угнали =)


Значит ты признаешь...


И слава богу...




И в статьях и в новостях... вопросик: ты на каждых разделах по другому проверяешь входящие данные,из-за уровня секретности?! )))


А можно узнать что ты устроишь?) Аж заинтриговал)))

Слава Б-гу !! я не один такой !!! ураааа !!!

Хочу извинится перед ApuktaChehov. Мы Вашу ветку превратили в откровенный мусорник.

Давайте вернемся к Вашему вопросу :-) У Вас получилось реализовать защиту?

1. Я сейчас на даче и поэтому немогу исправить инекцию
2. Я сейчас на даче и немогу вам ничего сделать. Интересно что сделаю? Попрошу чуточку терпения.
3. 3ащата была нацелена на символ ' а вот про -1 я совсем забыл, непонимаю как иф(стрлен>7) ечо ерор мог не сработать...
4. Угонют асю? Попробуй
5. Цель-показать баги? А я просил лесть в мой сайт? Сказали бы шо мол есть и все,так вы ещж и структуру пошли глядеть
6. Мой тон? Я бы посмотрел на твой тон када я информатион_схема выложилбы на форум.
7. Советуете про устройства таблиц?я тож посоветую вам сделать аплоад аватарок, сменить двиг форума и сменить модеров/админов

Мне уже интересно на исходник взглянуть...

Krist_ALL, а чем тебя не устраивает двиг форума, модеры и админы?
хуй уже с этими аватарками... кстати, которые мы только что включили, чтобы девачки не плакали

итак, я вернулся в москву, где у меня есть инет и
1. Баги исправил // проверьте, хрен че сделаете теперь
2. Какого хрена вы мою подпись постоянна редактите
3. Кто был причастен к иекции на моем сайте, тот ответит

Krist_ALL, убрал с тебя права модера.... ну тя нах..... ты какойто ебнутый и неадекватный....

NRg, а они у меня были? одно название на индексе! пытаючь чета удалить или поднять пишет нет прав!


сам мудильник. Заметь , я тя первый не окорблял


Бомж штоли? Идиотская подпись

корашная тема получилась...

Вот настоящий флудер - NRG! в его сообщение только 2 цитаты а своего текста нет.. улет

еще одно возмущение и в БАН

хуево исправил



тебе показали на твои ошибки, скажи "спасибо" и поправь. Нехер базар разводить


Это было не оскорбление, а констатация факта.


....

Krist_ALL, не обижайся, но ты дурак.

НЕТ !!! Зачем убивать курицу с золотыми яйцами ?! в конце-концов смех продлевает жизнь

да пожалуйста. забанишь, пожалеешь. народ, сами ведь первые напали

С удовольствием прочитал всю тему Поржал немало Если будет продолжение - я схожу за чипсами и за попкорном, чтоб приятнее было наблюдать.


Вот что меня поражает... Тут, на форуме, зачастую люди специально просят потестить их сайты на предмет взломоустойчивости. И говорят "спасибо" за любую подсказку. А тут подсказали-показали, чтоб исправить мог (для твоей же пользы!!!), а в ответ - матюги, угрозы и вообще полная неадекватность.
"Я фигею, дорогая редакция".

да что там исправлять?
весь сайт один сплошной баг!

Krist_ALL, лечись

Вот именно я непросил тестить мой сайт! а вы ешо зачемто начали тестить. сами лечитесь от своих багов

Тоже, что ли, пойти потренироваться в хакерстве на твоем сайте?

А ты вот представь, что кто-то "вообще левый" это сделает? И "накроется твой сайт медным тазом". И вообще. Люди не тестить начали твой сайт, а решили "потренироваться на кошках". Но потом пожалели "кошку", и решили дать ей шанс. А кошка, ничего не поняв, вытаращила глаза, выставила когти и шипит на всех окружающих

Про кошку супппер!
тренироваться я разве запрещаю? тренеруйтесь сколько влезет. я и так замучился фиксить все.. дыр то много .

У тебя письмо в личке лежит.
Вот еще дырка http://mobile-proff.ru/sitenews/news_show....s%20limit%209,1 -- исправляй

все пофиксил

Уважаемый, эта тема не про Вас и Ваш сайт -- создавайте тему в нужном разделе .. и Вам покажут еще ;-)

Привет всем!

AndryG я к сожалению не могу сейчас заниматься защитой, тут мне приперла суперсрочная работа, так что пока это я отлажу. Как только выделится время, я продолжу эту тему.

Спасибо большое!

P.S. В ближайшие 2 недели, точно попробую вашу функцию.

Предлагаю завести форум "Курилка", или "Йумаристы", или нет.... "Вошедшие в историю"!!

Тема реально ржачная .

Krist_ALL, ужми еще понты !!!

Ты сайт закрыл что-ли??

Тренировки окончены!

Ща работает тока раздел новости,остальные я зыкрыл до завта,завтра открою.

Ща работает тока раздел новости,остальные я зыкрыл до завта,завтра открою.

Да это пиар ход сайта, я уверен, почти. xD

Ребята вы видите что натворили?!!! У бедного парня уже паранойя: =))))