אני מנסה להוסיף ל-Postool את האפשרות שתתן למשתמשים להכניס קוד CSS שיופיע בעמודי התגובות שלהם.

הבעיה היא שהדבר מסוכן ודורש הגנה נכונה, כך שאם מישהו פתאום יחליט לכתוב במקום של ה-CSS:

קוד PHP:

<?

אז הוא יקבל פלט חסוי. אותו דבר לגבי פונקציות MySQL.

לכן, ניסיתי להגן על המידע שנכנס באמצעות הגנה עם strpos ובדיקה אם מילה אסורה נמצאת במחרוזת.
ניסיתי להשתמש כך:

קוד PHP:

 $pos = strpos($css, "SELECT"); 


ואז לבדוק באמצעות:

קוד PHP:

 if ($pos === true) 


אך אינני מצליח.

אני יודע שניתן וחשוב להשתמש ב-mysql_escape_string אבל הדבר הורס את הקוד שמגיע מהמשתמש. וגם אם הייתי עושה כך, ואז לפני ההדפסה הייתי עושה stripslashes או דבר דומה עדיין הייתי נתון בסכנה.

למישהו יש עצה כיצד לשפר את מערך ההגנה ולהשתמש נכון ב-strpos? כיוון שאינני מצליח להיכנס לתוך ה-if, למרות, שלדוגמא, המילה SELECT נמצאה בתוך המחרוזת. חשוב לציין שבדקתי שבאמת ל-CSS נקלט ערך ושה-pos אכן עובד. הבעיה היחידה היא שהתנאי לא עובד נכון, ומשום מה הוא לא נכנס לתוך ה-if.

אני יודע שניתן להשתמש ב-preg_match, אבל אני מודע לכך שזה לא יעיל וזה דורש המון משאבים. מה גם שאני תמיד מסתבך עם ביטויים רגולרים.

תודה לעוזרים.

למעלה מ-20,000 משתמשים לא טועים:
Postool - מערכת תגובות, עצומות, סקרים, ד"שים ושלל שירותים לבוני אתרים!

קראתי שוב ושוב את הכתוב במדריך ואז שמתי לב שהפונקציה לא מחזירה לעולם TRUE. אז עשיתי כך:

קוד PHP:

 if ($x !== false) 


וכעת זה עובד.

ולשאלתי השנייה שעדיין לא נפתרה: כיצד אוכל למנוע התקפות זדוניות? האם עלי פשוט לחפש מילים אסורות ולהכניס אותם ל-strpos? כי זה נראה לי לא בטוח, כי תמיד יש משהו שאני אפספס.

למעלה מ-20,000 משתמשים לא טועים:
Postool - מערכת תגובות, עצומות, סקרים, ד"שים ושלל שירותים לבוני אתרים!

בכל אופן- כמו שכתבתי קודם... לא יותר מידי הצלחתי להבין איך אתה מנסה "להגן" מפני קוד שהוא לא CSS... תסביר מה הצורה שבה אתה מגן
על ה CSS שלך ונוכל להגיד לך האם זה מספיק או שיש צורך לשנות משהו. בגדול- לחפש ביטויים לא הגיוניים בתוך הקלט של ה CSS נראה לי
קצת מיותר. אבל שוב- תסביר את צורת העבודה שלך ונראה איך אפשר לשפר את זה (אם בכלל יש צורך...).

בברכה, דקל

"מתכנת זה אדם שפותר בעיה שעל קיומה לא ידעת, בדרך שאינך מבין"

הצורה שבה אתה עובד קצת מיותרת לדעתי, אבל מצד שני אולי לא הבנתי מה אתה מנסה לעשות
אשמח אם תיתן הסבר בנוגע לצורה שבה אתה מנסה לבדוק האם קוד CSS הינו תקני...
בכל אופן- בנוגע לשאלה ששאלת כאן. הבעיה יכולה לנבוע משתי סיבות:

1. חוסר הבנה בנוגע לצורת העבודה של האופרטור ===
2. חוסר הבנה בפלט שמחזירה הפונקציה strpos.

הינה דוגמא שתמחיש לך מה צריך לעשות:

קוד PHP:

<?
$mystring = 'abc';
$findme  = 'a';
$pos = strpos($mystring, $findme);
if($pos !== false)
    echo $pos;
else
    echo "FALSE";
?>

אם אתה עדיין מסתבך- תכתוב
(טיפ קטן- תעשה חיפוש על d במקום על a)

בברכה, דקל

"מתכנת זה אדם שפותר בעיה שעל קיומה לא ידעת, בדרך שאינך מבין"

אני רוצה להגן על כך שלא יוכלו לכתוב:

קוד PHP:

<? או.. mysql_query

וכו'..

אז כרגע השיטה שלי, שלדעתי מאוד לא יעילה היא:

קוד PHP:

 // Legal CSS Check
$str = strtoupper($css);
$pos1 = strpos($str, "<?");
$pos2 = strpos($str, "HTTP");
$pos3 = strpos($str, "MYSQL");
$pos4 = strpos($str, "JAVASCRIPT");
$pos5 = strpos($str, "WWW.");
$pos6 = strpos($str, "SELECT");
$pos7 = strpos($str, "UPDATE");
$pos8 = strpos($str, "INSERT");
$pos9 = strpos($str, "DELETE");
$pos10 = strpos($str, "ALTER");
$pos11 = strpos($str, "DROP");
$pos12 = strpos($str, "JOIN");
$pos13 = strpos($str, "'");
$pos14 = strpos($str, "`");
$pos15 = strpos($str, "HANDLER");
$pos16 = strpos($str, "REPLACE");
$pos17 = strpos($str, "UNION");
$pos18 = strpos($str, "TRUNCATE"); 


ובסוף תנאי if ארוך מאוד.

למעלה מ-20,000 משתמשים לא טועים:
Postool - מערכת תגובות, עצומות, סקרים, ד"שים ושלל שירותים לבוני אתרים!

לדעתי תחסום רק את "?>" ו "php?>" וגם "%>" אם יש לך תמיכה בתגי ASP בשרת, רק עם התגים האלה אפשר להריץ משהו על השרת שלך.

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן.

אני מעדיף לשמוע עוד אנשים כדי לשמוע דעה נחרצת, כיוון שאני מפחד שיקרה משהו שהייתי יכול למנוע.

למעלה מ-20,000 משתמשים לא טועים:
Postool - מערכת תגובות, עצומות, סקרים, ד"שים ושלל שירותים לבוני אתרים!

אולי לא הצלחתי להבין מה בדיוק אתה מנסה לעשות- אבל עדיין אני מתקשה להבין למה אתה מתעקש להסיר את כל המחרוזות המסוכנות.
אני יוצא מנקודת הנחה שבתוך המשתנה css$ יש את הקוד אחרי שהוא כבר הוצא מהדטאבייס. מה שאתה עושה בעצם במהלך הריצה
של הסקיפט זה מדפיס:

קוד PHP:

 echo "<style type=\"text/css\">
<!--
$css
-->
</style>\n"; 


בוא נגיד באמת שמישהו הכניס פנימה SELECT או DROP TABLE... מה זה מפריע לך? הרי מבחינת הסקריפט שלך- זה לא משנה כלום.
הסקריפט שלך קולט את ה CSS שהמשתמש הכניס, מכניס אותו לתוך הדטאבייס,ולאחר מכן מוציא אותו ושולח כפלט. הוא לא מעבד אותו,
לא מריץ אותו בנפרד וכו'... (במיוחד אין שום סיבה להתחיל להעיף תגי php...)
הדבר היחיד שאתה צריך לעשות זה "להבריח" את המרכאות ושאר התוים הרגילים שיש צורך להבריח (באמצעות mysql_real_escape_string)
שגם ככה אתה אמור לעשות את זה על כל קלט שאתה מקבל מהלקוח...
בסופו של דבר- אם הלקוח יכניס שטויות רק הוא יסבול מזה לא אתה... ככה שזה לא משנה.
אשמח לקבל תיקונים/הסברים אם זה לא עוזר לך...

בברכה, דקל

"מתכנת זה אדם שפותר בעיה שעל קיומה לא ידעת, בדרך שאינך מבין"

שמור את ה CSS שלו איפשהוא (מצידי שיהיה קובץ PHP שישלוף את ה CSS מה DB וישלח אותו, לדוגמא getcss.php?user=userid), ואז תקרא ל CSS מתוך ה HTML שה PHP שלך שולח (תעשה view source על העמוד שאתה נמצא בו עכשיו בפרש, ותראה למה אני מתכוון).

ככה ה CSS לא מעורבב בכלל ב PHP, ואי אפשר לדחוף ל PHP שום דבר...

אחרי שהבנת מדוע כקובץ חיצוני זה לא יכול להשפיע על PHP, אפשר להתקדם הלאה, ולהגיד לך שגם אם הקוד מכיל תגי PHP, ASP, JAVASCRIPT ומה שלא יהיה, זה עדיין הולך להיות פלט של ה PHP, ולא משהו ש PHP עצמה תבצע, אלא הדפדפן! ולכן, הדבר היחיד שאתה רוצה להגן מפניו הוא כנראה... ג'אווהסקריפט, HTML ו ActiveX (כדי למנוע Cross-Site Scripting וכו'), דברים שאתה יכול למנוע בקלות באמצעות הפונקציה strip_tags על כל מה שחוזר מה DB (או יותר טוב, להעביר את הקלט דרך strip_tags לפני שהוא נכנס ל DB).

אם לא הבנתי נכון, אתה מוזמן לפרשן

נמאס לכם לזכור סיסמאות? לחצו כאן!

ואם עשיתי כך:

קוד PHP:

 $css = mysql_escape_string($_POST['css']); 


(אין STRIPTAGS מכיוון שהקוד מכיל תגים, והוא יבטל לי אותם)
ואז בדקתי כך:

קוד PHP:

 $str = strtoupper($css);
$pos1 = strpos($str, "<?");
$pos2 = strpos($str, "HTTP"); 


ועשיתי תנאי..

ובסוף בהדפסה עשיתי כך:

קוד PHP:

<?php
// CSS PRINT
if ($row2[17]!="")
    print stripslashes($row2[17]);
?>

כאשר $row2[17] מכיל את הערך שנקלט לפני כן ב-CSS והוא הערך ששלפתי מהטבלה ב-MySQL.

האם זה בסדר?

למעלה מ-20,000 משתמשים לא טועים:
Postool - מערכת תגובות, עצומות, סקרים, ד"שים ושלל שירותים לבוני אתרים!

נמאס לכם לזכור סיסמאות? לחצו כאן!

תג CSS נראה ככה:

קוד:

<STYLE type="text/css">
<!--
BODY {
scrollbar-face-color: #FFFFFF;
scrollbar-highlight-color: #FFFFFF;
scrollbar-3dlight-color: #FFFFFF;
scrollbar-darkshadow-color: #FFFFFF;
scrollbar-shadow-color: #FFFFFF;
scrollbar-arrow-color: #F0538B;
scrollbar-track-color: #FFFFFF;
}
-->
</STYLE>

(לדוגמא)

למעלה מ-20,000 משתמשים לא טועים:
Postool - מערכת תגובות, עצומות, סקרים, ד"שים ושלל שירותים לבוני אתרים!

מה מפריע לך לקלוט את קלט המשתמש עם strip_tags, ולהוסיף בפלט, ידנית, <style> לפני ה CSS ו <style/> אחריו?

נמאס לכם לזכור סיסמאות? לחצו כאן!

אז בוא נסכם. כעת אני קולט כך:

קוד PHP:

 $css = mysql_escape_string(strip_tags($_POST['css'])); 


ומדפיס כך:

קוד PHP:

<?php
// CSS PRINT
if ($row2[17]!="")
{
    print "<STYLE type=\"text/css\"><!--"; // Open
    print stripslashes($row2[17]); // Content
    print "--></STYLE>"; // Close
}
?>

האם זה בסדר?

למעלה מ-20,000 משתמשים לא טועים:
Postool - מערכת תגובות, עצומות, סקרים, ד"שים ושלל שירותים לבוני אתרים!

הסלאשים ש mysql_escape_string מוסיף הם כדי שהמידע ייכנס ל MySQL כרצוי, ושהשאילתא לא תדפק או שיהיה SQL Injection. הסלאשים עצמם לא נכנסים ל DB כמובן. כעקרון stripslashes לא מזיק, בהנחה ואכן לא ישתמשו בתו הזה כחלק מה CSS... (איך כותבים הערות? )

נמאס לכם לזכור סיסמאות? לחצו כאן!

צודק, זה נשאר מלפני כן, כשעוד קלטתי את תג ה-style. בכל אופן, כרגע אני אשאיר את זה. שיהיה.

תודה לכולם.

למעלה מ-20,000 משתמשים לא טועים:
Postool - מערכת תגובות, עצומות, סקרים, ד"שים ושלל שירותים לבוני אתרים!

ציטוט:

במקור נכתב על ידי ABM אני מנסה להוסיף ל-Postool את האפשרות שתתן למשתמשים להכניס קוד CSS שיופיע בעמודי התגובות שלהם. הבעיה היא שהדבר מסוכן ודורש הגנה נכונה, כך שאם מישהו פתאום יחליט לכתוב במקום של ה-CSS: קוד PHP: <? אז הוא יקבל פלט חסוי. אותו דבר לגבי פונקציות MySQL. לכן, ניסיתי להגן על המידע שנכנס באמצעות הגנה עם strpos ובדיקה אם מילה אסורה נמצאת במחרוזת. ניסיתי להשתמש כך: קוד PHP:  $pos = strpos($css, "SELECT");  ואז לבדוק באמצעות: קוד PHP:  if ($pos === true)  אך אינני מצליח. אני יודע שניתן וחשוב להשתמש ב-mysql_escape_string אבל הדבר הורס את הקוד שמגיע מהמשתמש. וגם אם הייתי עושה כך, ואז לפני ההדפסה הייתי עושה stripslashes או דבר דומה עדיין הייתי נתון בסכנה. למישהו יש עצה כיצד לשפר את מערך ההגנה ולהשתמש נכון ב-strpos? כיוון שאינני מצליח להיכנס לתוך ה-if, למרות, שלדוגמא, המילה SELECT נמצאה בתוך המחרוזת. חשוב לציין שבדקתי שבאמת ל-CSS נקלט ערך ושה-pos אכן עובד. הבעיה היחידה היא שהתנאי לא עובד נכון, ומשום מה הוא לא נכנס לתוך ה-if. אני יודע שניתן להשתמש ב-preg_match, אבל אני מודע לכך שזה לא יעיל וזה דורש המון משאבים. מה גם שאני תמיד מסתבך עם ביטויים רגולרים. תודה לעוזרים.

תעשה טופס שמקבל את הצבעים שאתה צריך ותבנה את את הCSS דינמית בעצמך ככה הם לא יוכלים להכניס סתם קוד.

אני רוצה לתת להם אפשרות לקבוע גם פונט ולסגנן את הלינקים כרצונם, ולכן הדבר הזה יגביל את האפשרויות.

למעלה מ-20,000 משתמשים לא טועים:
Postool - מערכת תגובות, עצומות, סקרים, ד"שים ושלל שירותים לבוני אתרים!

מאמין שזה לא קשה כל כך, זה גם יותר פשוט לכאלה שלא מבינים בזה, והCSS תמיד יהיה תקין, זה גם יותר בטוח.