mxwuser
Обрабатывай только те, которые тебе нужны.

mxwuser
phpforum.ru/index.php?inpost=noob
Можешь запустить! Видишь, что что-то произошло? Ответ: НЕТ! Потому что эта гет.переменная не используется скриптом. Пользователь может её хоть 100 раз отправить, всё равно ничего не будет. Как бы ты не старался, переменная в любом случае будет отправлена в скрипт.

mxwuser можно сделать так, но это лишнее будет, просто отвечаю что можно сделать в твоем варианте:

1. Сделать массив, который будет содержать именна переменных, которые разрешены.
2. Пройтись циклом все переменные, которые присылаются в этот файл и проверить, разрешена ли присланная переменная в первом массиве.
4. Если нет лишних переменных, то пусть скрипт выполняет по плану..... если же есть лишняя переменная, то сразу alert('Ты, отправляешь лишнюю переменную, а значит ты хакер!!!');

P.S. alert - это js.

должно получиться, что-то в этом роде:

	$error = false;
 	$arr = array('name','email'); // массив, с разрешенными переменными
	while(list($name) = each($_GET)) {
		if(!in_array($name,$arr)) $error = true;
	}
	
	if($error == true) { 
		echo 'Error!';
	} else {
		// далее скрипт	
	}

welbox2
скрипт всё равно их получит =(

mxwuser

inpost я и не говорю что можно как-то запретить посылку лишних переменных. Я просто привел пример, если есть левые переменные, чтобы скрипт перестал дальше обрабатывать.

И я считаю это не нужным, просто для примера привел.
mxwuser самое главное, как можно лучше обрабатывать переменные.

Вообщем, в той статейке было написано, что если записать в переменную не число, а некотыре строки, включая URL на сторонние файлы(там было про текстовые документы лежащие на других хостингах), то можно сильно на портачить. А каким образом тогда можно сделать, чтобы необходимые мне гет переменные, к примеру там ID, обробатывались только в определенном виде, например, числовом?

mxwuser

1. Если число: int(), intval;
2. stripslashes(); mysql_real_escape_string(); htmlspecialchars();

Это все нужно сделать при на инициализации гет переменных типа:

if(isset($_GET['page'])) {
$page = $_GET['page'];
$page = (int)$page;
}

Так должно быть?

И как лучше с не числовыми переменными поступать. Твин в своей статье писал htmlspecialchars(); , а в каких случаях другие два юзать, и как это должно выглядеть?

mxwuser я защищаю так:

1. Для чисел: $_GET['id'] = intval($_GET['id']);
2. Для текста: $_GET['text'] = mysql_real_escape_sting(stripslashes($_GET['text']));

htmlspecialchars() - почитай тут

вот еще ОЧЕНЬ классная функция:

function var_filter($value) {
	if(is_array($value)) { $value = array_map('var_filter', $value); } 
	else { 
		$value = trim($value);
		if(get_magic_quotes_gpc()) $value = stripslashes($value);
	}
	return $value;
}
$_GET = var_filter($_GET);

Благодарю. А она подходит и для чисел и для строковых переменных?

mxwuser функция для строковых переменных. После функции, обязательно используй mysql_real_escape_string

welbox2, извини, я совсем ламер еще, эта функция работает сразу для всех гет переменных, или на каждую потом отдельно прописывать, например

$_GET['id'] = var_filter($_GET['id']);

Тоесть все полностью должно выглядеть так?:

if(isset($_GET['id'])) {
$_GET['id'] = var_filter($_GET['id']);
$id = $_GET['id'];
$id = mysql_real_escape_string($id);
}

mxwuser можешь сделать так:

function var_filter($value) {
	if(is_array($value)) { $value = array_map('var_filter', $value); } 
	else { 
		$value = trim($value);
		if(get_magic_quotes_gpc()) $value = stripslashes($value);
	}
	return $value;
}

while(list($i) = each($_GET)) {
     $_GET[$i] = var_filter($_GET[$i]);
     $_GET[$i] = mysql_real_escape_string(trim($_GET[$i]));
}

так применится ко всем $_GET переменным. Получается БД защищена.

можно, вот этот кусок:

while(list($i) = each($_GET)) {
     $_GET[$i] = var_filter($_GET[$i]);
     $_GET[$i] = mysql_real_escape_string(trim($_GET[$i]));
}

заменить на:

	while(list($i) = each($_GET)) { // обходим циклом все присланные переменные
		if(is_numeric($_GET[$i])) { $_GET[$i] = intval($_GET[$i]); } // Если переменная является числом, то обрабатываем c intval
		else { // иначе
			$_GET[$i] = var_filter($_GET[$i]); // вызываем функцию и избавляемся от всякой ерунды
			$_GET[$i] = mysql_real_escape_string(trim($_GET[$i])); // еще раз избавляемся от всякой ерунды
		}
	}

Тоесть, если я вставлю в свою свою прогу этот код, то каждую стровокую гет переменную, после этого останется из гет в обычную переменную превратить, и уже над ними колдовать не нужно?

mxwuser после этой проверки, больше можно ничего не делать, хотя может есть еще какие-то варианты ...

А зачем тебе превращать в обычные переменные? Просто используй далее эти же гет переменные. Не усложняй себе работу

По-моему, вы (зря паритесь что-ли)... даже объяснить не могу
Если переменная нигде не используется, то она создастся и умрет! Все

DmitryOpalev уже речь идет просто об обработке присланных переменных.

welbox2
У меня матов уже не осталось.
Ну если ты сам до конца не разобрался, зачем других то учишь?
Для чего это:

while(list($i) = each($_GET)) { // обходим циклом все присланные переменные
		if(is_numeric($_GET[$i])) { $_GET[$i] = intval($_GET[$i]); } // Если переменная является числом, то обрабатываем c intval
		else { // иначе
			$_GET[$i] = var_filter($_GET[$i]); // вызываем функцию и избавляемся от всякой ерунды
			$_GET[$i] = mysql_real_escape_string(trim($_GET[$i])); // еще раз избавляемся от всякой ерунды
		}
	}

Скрипт массив $_GET только в SQL использует?
НИКОГДА не обрабатывайте внешние данные на входе. Сколько раз говорить то.

twin в данном случае, пользователю надо ввести данные в БД, поэтому и все проверяем. А матом не стоит, в любом случае!

Если надо ввести данные в БД, то надо их и вводить в БД.
Но никак не портить суперглобальный массив $_GET

	while(list($i) = each($_GET)) { // обходим циклом все присланные переменные
		if(is_numeric($_GET[$i])) { $$i = intval($_GET[$i]); } // Если переменная является числом, то обрабатываем c intval
		else { // иначе
			$value = var_filter($_GET[$i]); // вызываем функцию и избавляемся от всякой ерунды
			$$i = mysql_real_escape_string(trim($value)); // еще раз избавляемся от всякой ерунды
		}
	}

[b]$$i = intval($_GET[$i]); }[/b]

А почему 2 "доллара"? Ошибка, или я чего-то не знаю? (=

mxwuser это не ошибка

Зто не ошибка. Но пользоваться этим - моветон. Есть функция extract() для таких целей.
И вообще все эти изобретения, когда пытаются обработать данные одним махрм, до добра не доводят.
Все пытаются это делать, наивно полагая, что до них то никто не додумался.

Вот и тут - куча ошибок, которые не видны на первый взгляд, но обязательно когда-нибудь вылезут.

Обрабатывать данные нужно по месту применения. Если запрос - то в запросе. А не устраивать подобных каруселей.

welbox2
О!) Нашел баг в подсветке)

kirik я не только этот баг нашел ...Часто, когда я нажимаю на редактировать своего сообщения, то мне выводится спан классы и много другой ерунды... я уже писал про это, но никто не откликнулся из администрации...

twin не все такие эксперты как ты, но делать хоть это, лучше чем ничего. Люди когда интересуются, учатся - рано или поздно сами смогут все понять и потом правильно писать код.

welbox2

twin я у кого только не спрашиваю, все говорят по разному. Все вы эксперты, по моему наблюдению, привыкли работать каждый по своему. Допустим, меня обучал Sylex. Именно он говорил что так надо делать.

У меня есть вся наша переписка, вот кусок:

Все он говорит верно. Ошибка твоя не в том, как ты обрабатываешь данные. Ошибка где ты их обрабатываешь.

Вот смотри.
1. Способ не удачный даже потому, что переменных не видно явно. То что они находятся в текущей таблице, не добавляет читабельности коду.

2. Если вдруг придется в базу записать данные, полученные не из $_GET, а из той же базы, то во первых они останутся необработанными (ибо мы понадеемся на твой универсальный костыль), либо будут обработанны неверно, если мы все же их через него попытаемся пропустить.

3. Литеральные константы (строки) перед внесением в запрос нужно обрамить апострофами. А числовые - нет. Твоя "универсальная" обработка не делает различий. А это значит мы должны либо определить тип вручную (тогда смысл костыля теряется), либо обрамлять всё. Тогда портится семантика SQL.

Я много раз писал (не сам придумал), что обработка должна производится непосредственно там, где она необходима.

Магические кавычки убить на входе, так как это ошибка разработчиков и её нужно исправить.
Экранирование и приведение типов при формировании запросов.
Обработку вывода на выводе, ни как не раньше.

Чтобы понять, что это единственно верный путь, нужно было решить задачу. Её нельзя решить иначе. А не пытаться нагородить заборов из граблей.

Я тут все перечитал, и меня вообще, переклинило.
У меня такая задача была. Есть страница, ее контент зависит от значения переменной $_GET['page']. Эта переменная является числовой. В связи с этим, как я понял, она должна обрабатываться только один раз, функцей intval, которая возьмет из значения моей переменной только челое число в десятичной системе, без каких либо посторонних знаков. Страница у меня простая(типа тренировочная, чтобы понять как и что для начала), переменная GET всего одна, правильно ли будет сделать так, если сразу после подключения к БД, второй строкой на странице, выполнить следующее:

if (isset($_GET['page'])) {$_GET['page'] = intval($page); }

А если же $page, будет иметь текстовое значение, то должно будет обрабатываться следующим образом:

if(isset($_GET['page'])) = {$_GET['page'] = mysql_real_escape_string(stripslashes($page)); }

Где stripslashes преобразует кавычки и слеши, используемые для каких либо действий в PHP, а mysq_real_escape_string, преобразует символы используемые для записи в БДмускул. Я правильно основу понял?
Далее 2 вопроса.
Первый: В каких случаях необходимо использовать функцию htmlspecialchars();?
Второй: Если моя страница не предусматривает записи данных в БД, а только их вывод, можно ла как-то дополнительно обезопасить страницу, путем, например, запрета записи данных в MYSQL, пользователю через который подключается к mysql страница?

mxwuser
Тогда уж так правильно будет:

if (isset($_GET['page'])) $page = intval($_GET['page']);

Если будет иметь текстовое значение, то ты проверяй на пустоту, обрезай пробелы и убирай кавычки. А mysql_real_escape_string можно использовать только в строке запроса, например так:

mysql_query("INSERT INTO `table` VALUES ('".mysql_real_escape_string($page)."')");

Ну я ошибся там с местами, да (= А как же тогда строковую переменную обрабатывать, можете функции озвучить? (-=

mxwuser

if (isset($_GET['page'])) $page = trim(stripslashes($_GET['page']));

В самом запросе пишем так:

mysql_query("INSERT INTO `table` VALUES ('".mysql_real_escape_string($page)."')");

aH6y
А попробуй такой текст записать:

ААА... Твин, ну уже 3 раз в тему говоришь загадками, и непонятно потом что правильно, а что нет(

Далее 2 вопроса.
Первый: В каких случаях необходимо использовать функцию htmlspecialchars();?
Второй: Если моя страница не предусматривает записи данных в БД, а только их вывод, можно ла как-то дополнительно обезопасить страницу, путем, например, запрета записи данных в MYSQL, пользователю через который подключается к mysql страница?

Никаких загадок. Нужно просто попробовать и разобраться почему так.
А на все вопросы я давно ответил здесь.

Ну так как тогда правильно обработать строковую переменную? Я внимательно прочитал вашу статью не один раз, но именно об обработке гет переменных ничего не нашел. Можете меня носом ткнуть туда где это есть в той статье?

twin
Попробывал. Всё так и сохранилось, как я написал:

Так я и ПОСТ не нашел...

if (isset($_GET['page'])) $page = trim(stripslashes($_GET['page']));

- Анбу, эта твоя строчка правильная? (=

mxwuser
Первый и второй пункты:воть

Да, но при работе с бд следует прменять еще и mysql_real_escape_string

Про SQL иньекции я понял все, а вот с той строчкой что ты дал, там обрабатвается переменные строковые, в первом же пункте не идет никакое не "не обрезание", не прочее колдавство...

mxwuser
Читайте документацию.
stripslashes - убирает экранизацию.
addslashes - добавляет экранизацию.

Да я читал уже все. Мне 2 стрнаницу, всего лишь навсего, нужно было узнать правильно ли сформулировал код обработки или нет. В любом случае всем спасибо, Тебе, Твину, и Веллбоксу, что мне нужно было, я узнал (=

Поройся тут в решениях. Там много интересного.

twin большое спасибо, что объяснил где именно моя ошибка. Я понял.

Спасибо. Тогда правильно ли будет, если посоветую для mxwuser следующее:

1. Забудь все, о чем мы ранее говорили и коды, которые были сделаны.
2. Когда отправляешь в скрипт: $_GET['name'] или $_GET['id'] и их необходимо записать в БД, делаем так:

function var_filter($value) {
	if(is_array($value)) { $value = array_map('var_filter', $value); } 
	else { 
		$value = trim($value);
		if(get_magic_quotes_gpc()) $value = stripslashes($value);
	}
	return $value;
}

mysql_query("
	INSERT 
	INTO `users`(`name`,`id`)
	VALUES('".mysql_real_escape_string(var_filter($_GET['name']))."',".intval($_GET['id']).") 
");

получается числовую переменную, мы обрабатываем через intval, а строковое, через функцию и mysql_real_escape_string. И самое главное, обрабатываем уже прямо в запросе, для того чтобы не гадить глобальную переменную.

twin так правильно?

Воооот.
Еще совет один - intval() дольше писать и работает медленнее, чем (int)

Лично на сервере, где мои сайты валяются, intval работает в 2,5 раза медленее.