[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Вопрос безопасности
Форум PHP программистов > PHP для начинающих
qpurypaHT
6.04.2016 - 13:36
Доброго дня!

Вопрос состоит в следующем:

в форме помимо 
<input />
очистку строки которой я делаю, присутствует еще и 
<textarea></textarea>


По необходимости требуется разделение строки при передачи данных в БД: nl2br();
Чтобы в дальнейшем для отправки в заявке по <textarea></textarea> был читабельный вывод получателю.

Но встает сразу проблема, если какой-нибудь урюк захочет по-хулиганить.
Не помню уже где читал, что можно выслать в такой форме <img src="путь/bugogashechka.PHP" />, ну а что там в этом файле .php может быть уже не представить.

Есть ли возможность ограничить использование в форме html тегов, кроме <br />??


Я как-то встречал при изучении регулярные выражения(шаблон):
preg_match("/^(?:[a-z0-9]+(?:[-_.]?[a-z0-9]+)?@[a-z0-9_.-]+(?:\.?[a-z0-9]+)?\.[a-z]{2,5})$/i")


Но для меня это осталось дремучим лесом

_____________
Если долго в одних стенах живешь, ты с ними сростаешься
depp
6.04.2016 - 13:44
http://php.net/strip_tags ?
qpurypaHT
6.04.2016 - 13:47
Цитата (depp @ 6.04.2016 - 13:44)
http://php.net/strip_tags ?

Рассматривал, не пойдет, так как нужен лишь <br /> остальное ограничить

_____________
Если долго в одних стенах живешь, ты с ними сростаешься
bestxp
6.04.2016 - 13:51
Так в чем проблема пусть что угодно вставляет, на выходе экранируешь + nl2br и все, пофиг что там будет
depp
6.04.2016 - 14:00
Цитата (Stave @ 6.04.2016 - 13:47)
Цитата (depp @ 6.04.2016 - 13:44)
http://php.net/strip_tags ?

Рассматривал, не пойдет, так как нужен лишь <br /> остальное ограничить

а вы документацию к этой функции внимательно прочитали?
qpurypaHT
6.04.2016 - 14:21
Цитата (depp @ 6.04.2016 - 14:00)
Цитата (Stave @ 6.04.2016 - 13:47)
Цитата (depp @ 6.04.2016 - 13:44)
http://php.net/strip_tags ?

Рассматривал, не пойдет, так как нужен лишь <br /> остальное ограничить

а вы документацию к этой функции внимательно прочитали?

Не правильно ее применил!
Если использовать вот так:
$symptoms = strip_tags(nl2br($_POST["description"]), "<br/><br>");


то все Отлично работает допускается ЛИШЬ тэг <br />

Благодарю Вас и Всех всех кто откликнулся

_____________
Если долго в одних стенах живешь, ты с ними сростаешься
bestxp
6.04.2016 - 14:38
а если вызов nl2br сделать после strip_tags то и <br/> не нужно удалять)
qpurypaHT
6.04.2016 - 14:46
Цитата (bestxp @ 6.04.2016 - 14:38)
а если вызов nl2br сделать после strip_tags то и <br/> не нужно удалять)

Вот именно таким способом как я привел выше, здесь не удаление тега идет как описано на http://php.net/strip_tags, а удаление ВСЕХ кроме <br>


именно то, что мне и нужно было

_____________
Если долго в одних стенах живешь, ты с ними сростаешься
twin
6.04.2016 - 15:24
Он не то имел ввиду. :) Вот так надо:
$symptoms = nl2br(strip_tags($_POST["description"]));


Иначе остается уязвимость.

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

user posted image
qpurypaHT
6.04.2016 - 15:35
Цитата (twin @ 6.04.2016 - 15:24)
Он не то имел ввиду. :) Вот так надо:
$symptoms = nl2br(strip_tags($_POST["description"]));


Иначе остается уязвимость.

Я понял))
А в чем уязвимость остаётся? Ведь обработчик с той записью, что я выложил - не пропускает в бд ни один html тег, кроме того, что я вписал в ковычки
Скажите, чтобы знал, а то странно выходит, код работает

_____________
Если долго в одних стенах живешь, ты с ними сростаешься
twin
6.04.2016 - 16:11
На а его же пропускает?))) А это обычный тег. И у него есть атрибуты. На вскидку вот так можно поломать блочный дизайн:
<br style="clear:both" />


_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

user posted image
qpurypaHT
6.04.2016 - 16:33
Цитата (twin @ 6.04.2016 - 15:24)
Он не то имел ввиду. :) Вот так надо:
$symptoms = nl2br(strip_tags($_POST["description"]));


Иначе остается уязвимость.

И вправду!=))
А я и не подумал атрибуты проверить!)
Огромное вам спасибо, по +су вам!

_____________
Если долго в одних стенах живешь, ты с ними сростаешься
twin
6.04.2016 - 16:48
Это еще не всё. strip_tags() Убирает теги наглухо. Не оставляя пробелов. И не только теги, а всё между бричками. И в итоге целостность текста может нарушится. Эту функцию вообще нельзя применять для фильтрации. Я бы посоветовал сходить сюда. Самое время.

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

user posted image
Быстрый ответ:
Powered by dgreen

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2024 Invision Power Services, Inc.