שלום חברים

אז ככה, סיימתי את המערכת שלי ועכשיו הגעתי לחלק של אבטחתה

יש לי דפי PHP שמקבלים ערכים למשתנים באמצעות GET ומאוחר יותר מוזנים לשאילתא MYSQL.
עד עכשיו לא התייחסתי בכלל לאבטחה לכן אני מודע שיהיו שינויים רבים שאצטרך לעשות.

אז ככה,
דף ראשון : file1.php
מקבל ערך למשתנה id - הערך אמור להיות בין 1 לאינסוף

דף שני : file2.php
מקבל ערכים למשתנים: id - אמור להיות בין 1 לאינסוף. log - אמור להיות בין 1 לאינסוף.

אילו מידות אבטחה אני מריץ על המשתנים מההתחלה, כלומר מיד אחרי שהם מתקבלים ולפני שקורה איתם משהו בכלל.

תודה
רועי

יש אפשרות פחות מחמירה, שבה אתה ממיר את הערך למספר,
תוך כדי בדיקה שהמספר חיובי. אם המספר לא חיובי - אתה קובע ערך ברירת מחדל:

קוד PHP:

 $id = ((int)$_GET['id'] > 0) ? (int)$_GET['id'] : 1; 


יש אפשרות יותר מחמירה, שבה אתה בודק אם הערך הוא מספר או לא,
ואם הוא מספר, אז אם הוא חיובי או לא. כל מצב אחר - אתה עוצר את הריצה.
אתה יכול לעשות זאת באמצעות משתנה בוליאני, יציאה (exit) או exceptions.
דוגמה לבדיקה עם משתנה בוליאני (אפשר גם לממש את $msg בתור מערך שגיאות):

קוד PHP:

 $ok = true;
$msg = "";

if (!is_numeric($_GET['id'])) {
  $ok = false;
  $msg = "ERROR: You must provide a number.";
} else if ((int)$_GET['id'] < 1) {
  $ok = false;
  $msg = "ERROR: You must provide a positive number.";
}

if ($ok) {
  // now use (int)$_GET['id']
} else {
  echo $msg;
} 


פה דיברת על קלט של מספר, והצבתו בשאילתה. יש עוד סוגים של קלטים, ועוד שימושים.
אתה צריך לחשוב מה אתה עושה עם כל קלט - מה נחשב תקין, מה לא,
איך אתה מטפל בקלט תקין ואיך לא, איך אתה דואג שקלט לא תקין לא יפגע בך.

אוקיי, תודה רבה לך

נהוג לבצע סינון על כל המידע החיצוני. הסינון תלוי בסוג המידע ולאן המידע הזה מגיע.

אני מסנן אוטומטית רק מידע המגיע מ-POST.
בנוגע ל-GET, ברוב המוחלט של הפעמים זה אמור להיות מידע מסוג מספר או מידע שקיים מתוך רשימה מוכרת, ולכן אני לא מסנן את זה אוטומטית (לדוגמא עם htmlspecialchars) אלא בהתאם למקרה.

כדי לסנן מידע שאמור להגיע לשאילתות SQL, יש לבצע את הבא:

1. אם המידע אמור להיות מסוג מספר, יש לבצע המרה של המידע למספר. כלומר:

קוד PHP:

 $input = (int)$input; 


2. אם המידע מסוג מחרוזת, יש להריץ פונקציה המבריחה תוים מסוימים, לדוגמא עם הפונקציה mysql_real_escape_string. חשוב לוודא שהגדרת קידוד מתאים למידע הנכנס והיוצא.

תודה גם לך רק עכשיו ראיתי את ההודעה, אחרי רענון

1. אני משתמש בזה כל הזמן.
2. גם בזה אני משתמש, אבל רק באלו שאני מכיר שזה כולה 2. אני אשמח לקבל רשימה של כל הפעולות שעושות את זה ויוכלו לעזור לי.
ומה זאת אומרת הגדרת קידוד לגבי זה?

2. למה הכוונה רק אלו שאתה מכיר?

צריך רק "להבריח" תוים מסוימים... עבור מסדי נתונים אחרים יש ממשקים אחרים שיש להם מתודות אחרות שמבצעות את אותה הפעולה של הברחת תוים.

לדוגמא, בממשק mysqli, כדי להגדיר קידוד משתמשים ב:
http://www.php.net/manual/en/mysqli.set-charset.php

וכדי להבריח תוים:
http://www.php.net/manual/en/mysqli...cape-string.php

בממשק mysql, אתה כנראה מכיר את הפונקציות:
http://il2.php.net/manual/en/functi...cape-string.php
http://il2.php.net/manual/en/functi...cape-string.php

כאשר האחרונה עדיפה לשימוש (רק בממשק mysql).

ההברחה של התווים מתבצעת בהתאם לקידוד שלהם, לקידוד שהגדרת למידע הנכנס והיוצא.

אל תשכח לבטל את האפקט של magic_quotes במידה וזה מופעל!

רשימת כל הפונקציות שיעזרו לך להגנה זה רעיון טוב.
בכל מקרה חשוב לזכור שתמיד אתה בודק את הקלט בהתאם למטרה שלך
ולקלט שאתה מצפה לו. ואתה מסנן לא רק את הקלט - המידע שאתה מקבל,
אלא גם את הפלט. למשל כאשר אתה מדפיס תוכן ממסד הנתונים,
ייתכן שהוא ישתנה, ובכל מקרה תרצה להשתמש ב-htmlentities כדי לקודד את הטקסט.

אם למישהו יש עוד פעולות שיעזרו, תוסיפו.

1. המרה - כאשר מדובר במספר, יש כמה גישות כמו שהראתי, אבל בסופו של דבר
אתה תמיר את הקלט (אם או בלי לבדוק שזה מספר) לטיפוס של מספר ע"י (int).
כאשר זה כבר מספר, בדר"כ אין צורך לעשות יותר בדיקות תקינות.
2. קבוצת הפונקציות Ctype, שמאפשרות לך לבדוק כל מיני סוגים של קלטים,
לדוגמה: האם הקלט הוא מספר, אותיות, אותיות ומספרים ביחד וכו'.
תמיד שיש לך אפשרות להשתמש בזה, תעשה את זה (יעילות גבוהה).
3. קבוצת הפונקציות is_* שנועדו לאפשר לך לבדוק אם קיבלת את הקלט שציפית לו.
לדוגמה: is_numeric, is_string, is_array וכו'.
4. קבוצת הפונקציות Filter, שמאפשרת לך או לבדוק (Validate filters)
או "לנקות" (Sanitize filters) את הקלט.
לדוגמה: בדיקה האם קיבלת כתובת של אתר, כתובת אימייל, IP.
וגם "סינון" של הקלט בהתאם לקלט שאתה מצפה לו.
5. ביטויים רגולריים - לפעמים אין דרך אחרת לבדוק. הכי פחות יעיל.
תעדיף להשתמש במציאת חלק ממחרוזת, לדוגמה strpos, כשאפשר.
אם אתה חייב ביטויים רגולריים לצורך בדיקת תקינות, תעזר בפונקציה preg_match.
אפשר גם להחליף תבניות מסוימות באחרות, בעזרת preg_replace למשל.
6. הכנסת קלט למסד נתונים - יש כל מיני שיטות להגנה, בעיקר מפני SQL Injection.
לכל הפחות תשתמש בפונקציה של escape כמו mysql_real_escape_string.
הטכניקה הכי בטוחה שאני מכיר היא Prepared statements והיא מתאפשרת
ב-PHP בעזרת הרחבה שנקראת PDO (לא מכיר דרך אחרת).
7. הדפסת פלט למסך - אתה צריך לקודד את הקלט שאתה מדפיס.
להגנה מפני XSS בעיקר. הפונקציה המומלצת היא htmlentities.
מה שדור דיבר עליו - הפרמטר השלישי הוא קידוד הטקסט. מומלץ להשתמש בזה.
לדוגמה:

קוד PHP:

 htmlentities($html, ENT_QUOTES, "UTF-8"); 


אפשר להשתמש גם ב-strip_tags להסרה של תגי HTML.

בהצלחה.

לא כדאי להשתמש ב- htmlentities, אלא htmlspecialchars.

במקרה של קידוד UTF-8, אין צורך להגדיר קידוד בפונקציה htmlspecialchars אפילו אם קיימת האופציה להגדרת קידוד.

בנוגע ל- prepared statements, שכחתי להוסיף זאת כשכתבתי על האופציות להכנסת מידע בצורה בטוחה, וזה אכן אפשרי איתם, אבל קצת בזבזני מבחינת משאבים (ראו אשכול שפתחתי בעבר על PDO)

ציטוט:

במקור נכתב על ידי dorM לא כדאי להשתמש ב- htmlentities, אלא htmlspecialchars. במקרה של קידוד UTF-8, אין צורך להגדיר קידוד בפונקציה htmlspecialchars אפילו אם קיימת האופציה להגדרת קידוד.

למה לא? אם אתה רוצה לקודד רק תווים מיוחדים - תשתמש ב-htmlspecialchars.
אם אתה רוצה לקודד את כל התווים - תשתמש ב-htmlentities.
במקרה של קידוד UTF-8 יש צורך להגדיר את זה בפונקציה,
כי ברירת המחדל היא דווקא ISO-8859-1.
תקרא כאן: Character Encoding and XSS.

ציטוט:

במקור נכתב על ידי dorM בנוגע ל- prepared statements, שכחתי להוסיף זאת כשכתבתי על האופציות להכנסת מידע בצורה בטוחה, וזה אכן אפשרי איתם, אבל קצת בזבזני מבחינת משאבים (ראו אשכול שפתחתי בעבר על PDO)

אתה צודק. PDO הוא בזבזני מבחינת משאבים.
זה עדיין לא אומר שצריך לשלול אותו - יש דברים אחרים שצריכים לשקול.
למשל, הוא הכי בטוח בינתיים, נוח, מתודולוגיה של OOP,
מאפשר החלפה של מסד נתונים בקלות (אין צורך לשכתב את הקוד).

כאן כתוב שהחלק התחתון של הקידוד ISO/IEC 8859-1 תואם לקידוד ASCII. למעשה ISO/IEC 8859-1 זה הרחבה של ASCII ל-128 הבתים העליונים.

מלבד ההתאמה של הקידודים, המבנה של UTF-8 מאפשר להשתמש ב-htmlspecialchars מבלי לחשוש לתוצאה לא תקינה של המחרוזת או שיבוש שלה.

חפש במסמך הזה את המילה htmlspecialchars ותקרא על הפונקציה הזאת והפונקציה htmlentities. מוסבר למה לא צריך להשתמש בזה. מלבד הסיבות שמוצעות שם, htmlentities ימיר תוים למחרוזת תוים אחרת שזה גם גוזל משאבים (בלי סיבה כפי שמצוין בקישור).
בקישור הנ"ל אל תפספס את העמוד הזה: http://www.phpwact.org/php/i18n/cha...reas_with_utf-8