ARCHIV |
|||||
Software (10844)
Distribuce (131)
Skripty (697)
Menu
Diskuze
Informace
|
PHP (82) - zabezpečení vstupů formulářůFormuláře se musí zabezpečit. O prvku TEXTAREA, jak uvidíme, to platí dvojnásob, protože je specifický. Jak začít... co třeba citací slov Honzy Houšťka, který v diskusi pod
jedním článkem našeho seriálu napsal: "Spoléhat se na nějakou
vlastnost PHP je cesta do pekel". Bylo to v diskusi kolem zabezpečení
uživatelských vstupů. Což se svým podstatným způsobem týká
formulářového prvku TEXTAREA, který jsme minule použili pro zadávání
písní. Tento prvek bývá v PHP mnohdy často špatně zabezpečen. Pojďme se tedy podívat na dva možné obecné zdroje problémů s tímto prvkem a na jeden specifický problém, týkající se způsobu, jak je použit v naší aplikaci.
Velikost prvku TEXTAREAV předchozím díle jsme nijak neomezili množství dat, která uživatel
může zadat do pole TEXTAREA. Respektive kontrolujeme pouze, zda je
vůbec v tomto poli po odeslání něco vyplněno. Takže uživatel by mohl do
pole nacpat vědomně či nevědomně příliš mnoho dat a naši aplikaci tak
zahltit. To je samozřejmě stav, který nemůžeme strpět. V samotném
formuláři sice nastavit maximální počet znaků jednoduše nemůžeme,
můžeme ale kontrolovat velikost proměnné po odeslání na server. Pozn.: Napsat, že nemůžeme omezit
maximální počet znaků je nepřesné. Ve skutečnosti to můžeme udělat
pomocí skriptů běžících na straně prohlížeče, jako je třeba JavaScript.
Jednak je to ale mimo rámec našeho seriálu a jednak je to nespolehlivé,
protože JavaScript může být v prohlížeči vypnut, nebo jej prohlížeč
vůbec nemusí podporovat. Můžeme ale udělat ještě víc. Nejen, že můžeme kontrolovat celkovou délku zaslaných dat, můžeme kontrolovat rovněž do kolika řádků (tedy, v našem případě písní) se bude pole dělit. Prohlašme například, že album může mít maximálně 30 písní a že celková délka dat z pole textarea bude 1500 znaků. V takovém případě bychom mohli naše testy rozšířit následovně: elseif
(strlen ($_POST["nazvynovychpisni"])>1500) echo "Máte zadáno příliš mnoho písní"; Tím bude zajištěno, že při překročení tohoto limitu se vůbec
nedostaneme k databázovým dotazům. Pozn.: Pro zvídavé - maximální velikost
dat formuláře, který PHP vůbec odešle není pochopitelně neomezená.
Nastavuje se pomocí volby post_max_size v konfiguračním souboru
php.ini. Teoreticky by se tato volba dala i nastavovat pomocí funkce
ini_set(), v praxi to však povětšinou bývá zakázáno. TEXTAREA a HTMLDalší moc špatná věc je ta, že TEXTAREA je párový prvek a hodnota uvnitř prvku se nezapisuje jako parametr dovnitř tagu, ale normálně do stránky jako text. Porovnejte, prosím, dva následující zápisy prvků s předdefinovaným textem "abc", jednu TEXTAREU a jeden text: <textarea rows="1"
cols="20">abc</textarea> Pravděpodobně si dokážete představit, jak by to dopadlo, kdyby někdo
místo abc zadal jiné znaky,
třeba </textarea>. To
by mohlo naši aplikaci přinejmenším rozhodit, přinejhorším dokonce
poškodit. Řešení je několik; víceméně se liší tím, zda nám při
nesprávně vyplněném formuláři vrátí opravdu původní nebo již upravené
hodnoty. Podle mě nemají HTML tagy v názvech písní co dělat, a mohu
proto hned na úvod zpracování příslušného skriptu napsat: $_POST["nazvynovychpisni"]=strip_tags($_POST["nazvynovychpisni"]); a všechny tagy zkrátka vymazat. Pokud by se uživatel musel k
vyplňování vrátit, už je tam neuvidí. Jiný dobrý způsob spočívá v
použití funkce htmlspecialchars,
která
převede zvláštní znaky (jako jsou třeba "<" a ">") na html entity: $_POST["nazvynovychpisni"]=htmlspecialchars($_POST["nazvynovychpisni"]); Co konkrétního použitete, záleží pochopitelně na vás. Platí tady to,
že jakékoli ošetření vstupního pole je zcela určitě lepší než žádné a
na potíže při použití prvku textarea by se rozhodně mělo myslet. Pozn.: Někteří programátoři tvrdí,
že přímá modifikace proměnné $_POST["cosi"] ztěžuje čitelnost kódu. Je
to však věc pohledu; z hlediska PHP je to jen obyčejná proměnná a v
našem případě je její modifikace to nejjednodušší, co můžeme udělat.
Pokud by to nevyhovovalo vašim nebo firemním standardům, můžete to
objít třebas uložením výsledku do jiné proměnné. TEXTAREA a náš formulářV programu máme ještě jedno slabé místo, které sice souvisí s prvkem
TEXTAREA, ale nesouvisí přímo se zabezpečením. Jde o to, že chování
rozdělování řádků je uživatelsky neintuitivní. Nejdřív na to narazí
ten, kdo se pokusí odřádkovat i za poslední písní - obdrží varovnou
hlášku. Program to myslí dobře - zdá se mu, že uživatel zadal píseň s
nulovým počtem znaků. To ale bude uživatele mást. Zase je více správných řešení. Mohli bychom například závěrečný konec řádku odmazat. To ale neřeší problém, kdy uživatel odřádkuje vícekrát. Rovněž to neřeší problém dvou či více následujících konců řádku uvnitř textu! To je případ, kdy s výhodou můžeme použít sílu regulárních výrazů. Mě se osvědčilo řešení ve stylu: $_POST["nazvynovychpisni"]=ereg_replace("(\r\n)+", "\r\n", $_POST["nazvynovychpisni"]); Což přeloženo do češtiny znamená: Najdi všechny výskyty minimálně
jednou se opakujícího konce řádku a nahraď to právě jedním koncem
řádku. Tím nám zmizí všechna vícenásobná odřádkování, ale ne to
poslední. K čemuž je tu ten druhý řádek, který by se dal převyprávět
jako: Pokud řetězec končí koncem řádku, ten konec řádku umaž. Jiné dobré řešení může spočívat v použití funkce split
namísto explode pro získání pole s písněmi. Zatímco totiž explode dělí
řetězec řetězcem, dělí split řetězec regulárním výrazem. Je to ale jen
pro silné nátury ovládající "regulární výrazivo". ZávěrVidíme tedy, že trochu zabezpečit prvek textarea není sice složité, ale že si to musíme trochu promyslet. Obecně platí, že když použijete "uživatelsky" jednodušší rozhraní, přiděláte tím práci programátorovi při ověřování vstupu. V případech, jako je tento, to ale má své opodstatnění. Změny na portálu
Na současný stav projektu se můžete na našem webu podívat
nebo si jej můžete stáhnout. Pozn.: Aby Vám stažená verze
fungovala na lokálním stroji, upravte si hodnotu konstant SQL_HOST,
SQL_USERNAME, SQL_PASSWORD a SQL_DBNAME. Případně si je můžete včlenit
do konfiguračního souboru podobně, jako jsem to udělal v souboru
func.php.
Související články
Předchozí Celou kategorii (seriál) Další
PHP (1) - Historie a budoucnost
PHP (2) - Jak to funguje PHP (3) - Instalace PHP (4) - Základy syntaxe PHP (5) - Příkaz Echo; formátování kódu PHP (6) - Typy proměnných PHP (7) - Pole PHP (8) - Výrazy, konstanty, inkrementace PHP (9) - Přetypování proměnných PHP (10) - Logické výrazy a operátory PHP (11) - Operátory porovnání; priorita operátorů PHP (12) - Podmínky PHP (13) - Příkazy cyklu PHP (14) - Cyklus for PHP (15) - Funkce PHP (16) - Vyrobme si kalendář PHP (17) - Dokončujeme kalendář PHP (18) - Funkce pro práci s poli PHP (19) - Objekty PHP (20) - Objekty podruhé PHP (21) - Vkládání souborů PHP (22) - Regulární výrazy PHP (23) - Neztraťte se ve funkcích PHP (24) - Pracujeme s formuláři PHP (25) - Formuláře - nikomu nevěřte PHP (26) - Formuláře na sto způsobů PHP (27) - Příklady na formuláře PHP (28) - Chybovati je lidské PHP (29) - Soubory a adresáře PHP (30) - Počitadlo pomocí souborů PHP (31) - Upload a download souborů PHP (32) - Příklad na BLOG PHP (33) - HTTP hlavičky PHP (34) - Úvod do databází PHP (35) - Uložení dat v databázi PHP (36) - Připojujeme se k MySQL PHP (37) - Tvorba tabulek v MySQL PHP (38) - Dolujeme data z MySQL PHP (39) - Zobrazujeme a stránkujeme data PHP (40) - PHP a vkládání záznamů do databází PHP (41) - Měníme data v databázích PHP (42) - Odstraňujeme databázová data PHP (43) - MySQL rychleji a rychleji PHP (44) - MySQL ještě rychleji PHP (45) - Jsou data v databázi v bezpečí? PHP (46) - Importujeme data do databáze PHP (47) - Exportujeme data PHP (48) - Práce s binárními daty (BLOB) PHP (49) - Kam kráčíš, MySQL? PHP (50) - Ověřování uživatelů PHP (51) - Přenos dat mezi stránkami PHP (52) - Cookies PHP (53) - Sessions PHP (54) - Dodržování webových standardů PHP (55) - Odesílání e-mailů PHP (56) - Tisk a PDF PHP (57) - XML PHP (58) - XML lépe a radostněji PHP (59) - zapisujeme XML PHP (60) - Rozsáhlejší projekty 1. PHP (61) - Rozsáhlejší projekty 2. PHP (62) - Rozsáhlejší projekty 3. PHP (63) - Rozsáhlejší projekty 4. PHP (64) - Ladění kódu PHP (65) - Ladění kódu 2. PHP (66) - PHP debugger PHP (67) - Zdroje informací o PHP PHP (68) - Stavíme portál PHP (69) - Stavíme portál 2. PHP (70) - Registrace uživatelů na portálu PHP (71) - Přihlašování uživatelů na portál PHP (72) - Hrátky s uživateli PHP (73) - Frontend a backend PHP (74) - Administrátorské rozhraní portálu PHP (75) - Pokračujeme na portále PHP (76) - Zobrazujeme data na portále PHP (77) - Portál, databáze a relace PHP (78) - Informační obsah portálu PHP (79) - Triky s formuláři a ergonomie webu PHP (80) - Administrace diskografie hudebního portálu PHP (81) - Uživatel versus programátor PHP (83) - Ukládání textů písní na hudebním portále PHP (84) - Ještě k registraci PHP (85) - ukládání souborů do databáze na portálu PHP (86) - zobrazení dat a stahování soborů pro registrované PHP (87) - finišujeme portál PHP (88) - provoz ve Windows PHP (89) - cesta do hlubin php.ini PHP (90) - Poťouchlé konfigurační volby PHP (91) - php.ini potřetí a naposledy PHP (92) - funkce pro interakci s operačním systémem PHP (93) - příkazový řádek PHP (94) - GUI PHP (95) - GUI podruhé PHP (96) - (ne)bezpečné PHP PHP (97) - bezpečnost ještě jednou PHP (98) - PHP 5. PHP (99) - Budoucnost PHP PHP (100) - Závěr PHP (101) - Apríl: Příklady z praxe php rewrite Byte order mark a PHP Předchozí Celou kategorii (seriál) Další Ke stažení jako HTML nebo jako PDF.
|
Vyhledávání software
Vyhledávání článků
28.11.2018 23:56 /František Kučera 12.11.2018 21:28 /Redakce Linuxsoft.cz 6.11.2018 2:04 /František Kučera 4.10.2018 21:30 /Ondřej Čečák 18.9.2018 23:30 /František Kučera 9.9.2018 14:15 /Redakce Linuxsoft.cz 12.8.2018 16:58 /František Kučera 16.7.2018 1:05 /František Kučera
Poslední diskuze
31.7.2023 14:13 /
Linda Graham 30.11.2022 9:32 /
Kyle McDermott 13.12.2018 10:57 /
Jan Mareš 2.12.2018 23:56 /
František Kučera 5.10.2018 17:12 /
Jakub Kuljovsky | |||
ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2024) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze |