Изпечатай

[toti84]

Здравейте колеги,
Ще ви помоля за мемието ви дали тези два скрипта са достатъчно сигурни за което за предазначени.
Доста търсих из интернета, а и книги четох и това успях да измисля:

Целта ми в пръвия е да почисти входните данни от пост масива, като в същото верме, като и
прекрати автоматизирани ботове.

Код

GeSHi (PHP):
<?php
session_start();
session_regenerate_id();
if ((isset($_POST['add']) && $_POST['add']=='1'))
      { if (isset($_SESSION['token']) && $_POST['token'] == $_SESSION['token'])
            {
   $token_age = time() - $_SESSION['token_time'];
if (($token_age < $maxTime) && ($token_age > $minTime ))
{
$valueTitle=array('Господин','Госпожа','Госпожица');text
if(in_array($_POST['title'],$valueTitle)) {$clean['title']=$_POST['title'];} 
if(preg_match("/^[a-zA-ZА]{3,32}$/",$_POST['name'])) {$clean['name']=$_POST['name'];} 
}}}
echo clean ['name'];
 
 
$token = md5(uniqid(rand(), true)); $_SESSION['token'] = $token;
$_SESSION['token_timestamp'] = time();
echo "<form action='' method='POST'>
Username: <input type='text' name='username' />    
<input type='hidden' value=".$token." name='token' />  
<input type='submit' />                            
</form>";       
 
?>
 
 
 

А врория от тях е създаването на сесия, за оторизиран потребител, до ограничена част на сайта.

Код

GeSHi (PHP):
//someWhereInSite.php
<?php
session_start();
session_regenerate_id();
if (isset($_SESSION['HTTP_USER_AGENT']))
{                                       
    if ($_SESSION['HTTP_USER_AGENT'] != md5($_SERVER['HTTP_USER_AGENT']))
    {                                                                    
echo "<form action='login_check.php' method='POST'>                      
Username: <input type='text' name='username' />                          
<input type='submit' />                                                  
</form>";                                                                
 
        /* Prompt for password */
        exit;                    
    }                            
 
    else 
        { echo "Inside security zone";
 
        exit;                                           
        }                                               
 
}
 
if (!isset($_SESSION['HTTP_USER_AGENT']))
{                                        
echo "<form action='login_check.php' method='POST'>
Username: <input type='text' name='username' />    
<input type='submit' />                            
</form>";                                          
}                                                  
?>
 
 
 
 
//login_check.php
<?php 
session_start ();
session_regenerate_id();
if (!isset($_SESSION['HTTP_USER_AGENT']) && isset($_POST['username']))
{                                                                     
  if ($_POST['username'] == 1)                                        
    {                                                                 
    $_SESSION['HTTP_USER_AGENT'] = md5($_SERVER['HTTP_USER_AGENT']);  
    echo "Inside security zone<br>"; 
    }                                                                             
  else {echo "greshna parola";exit;}  
 
?>
 

Моля дайте ваште мнения, изказвания и препръки.

[go_fire]

Поне аз не забелязах частта, където обработваш постъпилата от формата информация и я вкарваш в базата. Тук са повечето пробойни. И там са задължителни неща от сорта на trim и addslashes.


Иначе кода поне на мен (но аз съм ламер) ми изглежда добре.

[toti84]

В горния случай според мен променливата $clean['name'] е достатъчно почистена да се вкара директно в базата данни. Или греша ?

[go_fire]

както казах, не съм баш най-напред, но на доста места, съветват в конфига да имаш нещо такова:

Код

GeSHi (PHP):
if(!get_magic_quotes_gpc())
{
$_GET = array_map('mysql_real_escape_string', $_GET);
$_POST = array_map('mysql_real_escape_string', $_POST);
$_COOKIE = array_map('mysql_real_escape_string', $_COOKIE);
}
else
{
$_GET = array_map('stripslashes', $_GET);
$_POST = array_map('stripslashes', $_POST);
$_COOKIE = array_map('stripslashes', $_COOKIE);
$_GET = array_map('mysql_real_escape_string', $_GET);
$_POST = array_map('mysql_real_escape_string', $_POST);
$_COOKIE = array_map('mysql_real_escape_string', $_COOKIE);
}

Хора дето много уважавам и знаят много, съветват всичко, което влиза в базата да минава през трим и адслашес, за да няма инжекции. Първото по-скоро за удобство на потребителя, отколкото за сигурност, но усигурява и такава. И съответно, когато излиза да има пък htmlspecialchars, за да не чупи html и js. Има и други функции, но тези са най-препоръчвани.

[VladSun]

За ДБ данни, *трябва* се ползва *sql_real_escape_string() - няма нужда от add/stripslashes и други такива.

Trim не би трябвало да се прилага върху входните данни.

Този скрипт, който "чисти" всички входни данни може да доведе до неприятности - прилага се mysql_real_escape_string върху данни, които може изобщо да не са предназначени за ДБ.

[lkr]

Най-добре е да ползваш mysqli или ADO.

[d0ni]

Автоматичното escape-ването на всички входни данни е грешен подход. Аз предпочитам да се грижа за всяка стойност, която влиза в базата, да е от правилния тип и ако е нужно - да е escape-ната.

Ако не мислите така си пуснете magic_quotes и си карайте както знаете :-)

[Warstomp]

Сигурен бях че ще се появят поне 5 различни мнения
Всеки си го прави както си знае.

[VladSun]

Сигурен бях че ще се появят поне 5 различни мнения
Всеки си го прави както си знае.

А не трябва да е така... Има си утвърдени от опита правила, които трябва да се спазват.

Автоматичното escape-ването на всички входни данни е грешен подход. Аз предпочитам да се грижа за всяка стойност, която влиза в базата, да е от правилния тип и ако е нужно - да е escape-ната.

Ако не мислите така си пуснете magic_quotes и си карайте както знаете :-)

Съгласен, magic_quotes внесе повече проблеми отколкото успя да реши

[VladSun]

@toti84
Мисля си, че ако искаш повече помощ, ще трябва да форматираш кода в някой от по-общовъзприетите стандарти... За мен е абсолютно нечетлив - напр. идея си нямам къде свършват if блоковете.

[VladSun]

В горния случай според мен променливата $clean['name'] е достатъчно почистена да се вкара директно в базата данни. Или греша ?

Това което си направил е по-скоро проверка за "валидност въз основа на бизнес правила" - *ти* искаш *твоят* сайт да приема потребителски имена съставени само от a-z, A-Z символи. Но това няма нищо общо с ДБ. Утре можеш да решиш, че имена като Brent O'Connor са ОК за *твоя* сайт и да промениш regexp-a. Но това не би трябвало да влияе на съхраняването на данните и тяхното представяне.

Всеки път когато променяш дестинацията на данните, трябва да правиш подходящо трансформиране на данните.

Примери:

1) приемаш HTTP данни от потребителя, правиш им проверка за "бизнес" валидност, и искаш да ги съхраниш в ДБ - новата дестинация е ДБ контекстът. То тогава транформираш данните чрез инструмент предложен от дестинацията като "сигурен" - напр. *sql_real_escape_string.

2) приемаш HTTP данни от потребителя, правиш им проверка за "бизнес" валидност, и искаш да ги представиш обратно на потребителя - новата дестинация е HTML контекстът. То тогава транформираш данните чрез инструмент предложен от дестинацията като "сигурен" - напр. htmlspecialchars или strip_tags.

3) искаш да ги представиш на потребителя  данни прочетени от ДБ - новата дестинация е HTML контекстът. То тогава транформираш данните чрез инструмент предложен от дестинацията като "сигурен" - напр. htmlspecialchars или strip_tags.

[toti84]

OK.
Благодаря на всички за интереса към моя въпрос.
Напълно разбрах смисъла на вашите отговори. т.е. аз правя доста строго филтриране на входящите
данни от потребителите.

Вие нищо не казахте за втория ми скрипт за отвариянето на сигурна сесия. Сигурен ли е ?

[VladSun]

session_regenerate_id() се прави само при смяна на правата чрез успешна автентификация (т.е. успешен логин). Само тогава може да се осъществи session fixation атака. Във всички останали случаи, session_regenerate_id() е източник на проблеми при използването на Back бутона на браузера.

[VladSun]

аз правя доста строго филтриране на входящите
данни от потребителите.

Ти или използваната от теб framework. Във всички случаи трябва да е прозрачно (и централизирано) за твоите скриптове-клиенти - примерно чрез използването на DAL в случая на ДБ. Така е сигурно, че всички данни подавани към ДБ ще бъдат правилно "изчистени".

[go_fire]

@offfffff

Владсън, винаги съм знаел, че си голям, ама с тая тема направо ми скри топката, като Миньор на Левски

Привети!