LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> PHP (82) - zabezpečení vstupů formulářů

Formuláře se musí zabezpečit. O prvku TEXTAREA, jak uvidíme, to platí dvojnásob, protože je specifický.

22.12.2004 15:00 | Petr Zajíc | Články autora | přečteno 38821×

Komerční sdělení: Pořádáme Kurzy PHP

Jak začít... co třeba citací slov Honzy Houšťka, který v diskusi pod jedním článkem našeho seriálu  napsal: "Spoléhat se na nějakou vlastnost PHP je cesta do pekel". Bylo to v diskusi kolem zabezpečení uživatelských vstupů. Což se svým podstatným způsobem týká formulářového prvku TEXTAREA, který jsme minule použili pro zadávání písní.

Tento prvek bývá v PHP mnohdy často špatně zabezpečen. Pojďme se tedy podívat na dva možné obecné zdroje problémů s tímto prvkem a na jeden  specifický problém, týkající se způsobu, jak je použit v naší aplikaci.

Velikost prvku TEXTAREA

V předchozím díle jsme nijak neomezili množství dat, která uživatel může zadat do pole TEXTAREA. Respektive kontrolujeme pouze, zda je vůbec v tomto poli po odeslání něco vyplněno. Takže uživatel by mohl do pole nacpat vědomně či nevědomně příliš mnoho dat a naši aplikaci tak zahltit. To je samozřejmě stav, který nemůžeme strpět. V samotném formuláři sice nastavit maximální počet znaků jednoduše nemůžeme, můžeme ale kontrolovat velikost proměnné po odeslání na server.

Pozn.: Napsat, že nemůžeme omezit maximální počet znaků je nepřesné. Ve skutečnosti to můžeme udělat pomocí skriptů běžících na straně prohlížeče, jako je třeba JavaScript. Jednak je to ale mimo rámec našeho seriálu a jednak je to nespolehlivé, protože JavaScript může být v prohlížeči vypnut, nebo jej prohlížeč vůbec nemusí podporovat.

Můžeme ale udělat ještě víc. Nejen, že můžeme kontrolovat celkovou délku zaslaných dat, můžeme kontrolovat rovněž do kolika řádků (tedy, v našem případě písní) se bude pole dělit. Prohlašme například, že album může mít maximálně 30 písní a že celková délka dat z pole textarea bude 1500 znaků. V takovém případě bychom mohli naše testy rozšířit následovně:

elseif (strlen ($_POST["nazvynovychpisni"])>1500) echo "Máte zadáno příliš mnoho písní";
elseif (
count($pisne)>30) echo "Máte zadáno příliš mnoho písní";

Tím bude zajištěno, že při překročení tohoto limitu se vůbec nedostaneme k databázovým dotazům.

Pozn.: Pro zvídavé - maximální velikost dat formuláře, který PHP vůbec odešle není pochopitelně neomezená. Nastavuje se pomocí volby post_max_size v konfiguračním souboru php.ini. Teoreticky by se tato volba dala i nastavovat pomocí funkce ini_set(), v praxi to však povětšinou bývá zakázáno.

TEXTAREA a HTML

Další moc špatná věc je ta, že TEXTAREA je párový prvek a hodnota uvnitř prvku se nezapisuje jako parametr dovnitř tagu, ale normálně do stránky jako text. Porovnejte, prosím, dva následující zápisy prvků s předdefinovaným textem "abc", jednu TEXTAREU a jeden text:

<textarea rows="1" cols="20">abc</textarea>
<input type="text" value = "abc">

Pravděpodobně si dokážete představit, jak by to dopadlo, kdyby někdo místo abc zadal jiné znaky, třeba </textarea>. To by mohlo naši aplikaci přinejmenším rozhodit, přinejhorším dokonce poškodit. Řešení je několik; víceméně se liší tím, zda nám při nesprávně vyplněném formuláři vrátí opravdu původní nebo již upravené hodnoty. Podle mě nemají HTML tagy v názvech písní co dělat, a mohu proto hned na úvod zpracování příslušného skriptu napsat:

$_POST["nazvynovychpisni"]=strip_tags($_POST["nazvynovychpisni"]);

a všechny tagy zkrátka vymazat. Pokud by se uživatel musel k vyplňování vrátit, už je tam neuvidí. Jiný dobrý způsob spočívá v použití funkce htmlspecialchars, která převede zvláštní znaky (jako jsou třeba "<" a ">") na html entity:

$_POST["nazvynovychpisni"]=htmlspecialchars($_POST["nazvynovychpisni"]);

Co konkrétního použitete, záleží pochopitelně na vás. Platí tady to, že jakékoli ošetření vstupního pole je zcela určitě lepší než žádné a na potíže při použití prvku textarea by se rozhodně mělo myslet.

Pozn.: Někteří programátoři tvrdí, že přímá modifikace proměnné $_POST["cosi"] ztěžuje čitelnost kódu. Je to však věc pohledu; z hlediska PHP je to jen obyčejná proměnná a v našem případě je její modifikace to nejjednodušší, co můžeme udělat. Pokud by to nevyhovovalo vašim nebo firemním standardům, můžete to objít třebas uložením výsledku do jiné proměnné.

TEXTAREA a náš formulář

V programu máme ještě jedno slabé místo, které sice souvisí s prvkem TEXTAREA, ale nesouvisí přímo se zabezpečením. Jde o to, že chování rozdělování řádků je uživatelsky neintuitivní. Nejdřív na to narazí ten, kdo se pokusí odřádkovat i za poslední písní - obdrží varovnou hlášku. Program to myslí dobře - zdá se mu, že uživatel zadal píseň s nulovým počtem znaků. To ale bude uživatele mást.

Zase je více správných řešení. Mohli bychom například závěrečný konec řádku odmazat. To ale neřeší problém, kdy uživatel odřádkuje vícekrát. Rovněž to neřeší problém dvou či více následujících konců řádku uvnitř textu! To je případ, kdy s výhodou můžeme použít sílu regulárních výrazů. Mě se osvědčilo řešení ve stylu:

$_POST["nazvynovychpisni"]=ereg_replace("(\r\n)+", "\r\n", $_POST["nazvynovychpisni"]);
$_POST["nazvynovychpisni"]=ereg_replace("(\r\n)$", "", $_POST["nazvynovychpisni"]);

Což přeloženo do češtiny znamená: Najdi všechny výskyty minimálně jednou se opakujícího konce řádku a nahraď to právě jedním koncem řádku. Tím nám zmizí všechna vícenásobná odřádkování, ale ne to poslední. K čemuž je tu ten druhý řádek, který by se dal převyprávět jako: Pokud řetězec končí koncem řádku, ten konec řádku umaž.

Jiné dobré řešení může spočívat v použití funkce split namísto explode pro získání pole s písněmi. Zatímco totiž explode dělí řetězec řetězcem, dělí split řetězec regulárním výrazem. Je to ale jen pro silné nátury ovládající "regulární výrazivo".

Závěr

Vidíme tedy, že trochu zabezpečit prvek textarea není sice složité, ale že si to musíme trochu promyslet. Obecně platí, že když použijete "uživatelsky" jednodušší rozhraní, přiděláte tím práci programátorovi při ověřování vstupu. V případech, jako je tento, to ale má své opodstatnění.

Změny na portálu

Na současný stav projektu se můžete na našem webu podívat nebo si jej můžete stáhnout.

Pozn.: Aby Vám stažená verze fungovala na lokálním stroji, upravte si hodnotu konstant SQL_HOST, SQL_USERNAME, SQL_PASSWORD a SQL_DBNAME. Případně si je můžete včlenit do konfiguračního souboru podobně, jako jsem to udělal v souboru func.php.

Verze pro tisk

pridej.cz

 

DISKUZE

nefunkcnost po X-te 23.12.2004 21:04 David Gajdos
Nefunkční 24.12.2004 15:46 Petr Zajíc
L Re: Nefunkční 25.3.2011 11:43 Petr Kovařík
Kontrola vstupu na SQL příkazy 25.3.2011 11:46 Petr Kovařík




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

15.5.2017 23:50 /František Kučera

Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt, který se bude konat ve čtvrtek 18. května od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).


Přidat komentář

12.5.2017 16:42 /Honza Javorek
PyCon CZ, česká konference o programovacím jazyce Python, se po dvou úspěšných ročnících v Brně bude letos konat v Praze, a to 8. až 10. června. Na konferenci letos zavítá např. i Armin Ronacher, známý především jako autor frameworku Flask, šablon Jinja2/Twig, a dalších projektů. Těšit se můžete na přednášky o datové analytice, tvorbě webu, testování, tvorbě API, učení a mentorování programování, přednášky o rozvoji komunity, o použití Pythonu ve vědě nebo k ovládání nejrůznějších zařízení (MicroPython). Na vlastní prsty si můžete na workshopech vyzkoušet postavit Pythonem ovládaného robota, naučit se učit šestileté děti programovat, efektivně testovat nebo si v Pythonu pohrát s kartografickým materiálem. Kupujte lístky, dokud jsou.
Přidat komentář

2.5.2017 9:20 /Eva Rázgová
Putovní konference československé Drupal komunity "DrupalCamp Československo" se tentokrát koná 27. 5.2017 na VUT FIT v Brně. Můžete načerpat a vyměnit si zkušenosti z oblasti Drupalu 7 a 8, UX, SEO, managementu týmového vývoje, využití Dockeru pro Drupal a dalších. Vítáni jsou nováčci i experti. Akci pořádají Slovenská Drupal Asociácia a česká Asociace pro Drupal. Registrace na webu .
Přidat komentář

1.5.2017 20:31 /Pavel `Goldenfish' Kysilka
PR: 25.5.2017 proběhne v Praze konference na téma Firemní informační systémy. Hlavními tématy jsou: Informační systémy s vlastní inteligencí, efektivní práce s dokumenty, mobilní přístup k datům nebo využívání cloudu.
Přidat komentář

15.4.2017 15:20 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě IoT a radiokomunikace? Přijď na sraz spolku OpenAlt, který se bude konat ve středu 19. dubna od 18:30 v Šenkovně (Sokolská 60, Praha 2).
Přidat komentář

5.3.2017 19:12 /Redakce Linuxsoft.cz
PR: 23. března proběhne v Praze konferenci na téma Cloud computing v praxi. Hlavními tématy jsou: Nejžhavější trendy v oblasti cloudu a cloudových řešení, Moderní cloudové služby, Infrastruktura současných cloudů, Efektivní využití cloudu, Nástrahy cloudových řešení a jak se jim vyhnout.
Přidat komentář

27.2.2017 22:12 /František Kučera
Pozvánka na 137. sraz OpenAlt – Praha: Tentokrát jsme si pro vás připravili neobvyklou akci. Ve středu 1.3. v 17:30 nás přivítá sdružení CZ.NIC ve svých prostorách v Milešovské ulici číslo 5 na Praze 3, kde si pro nás připravili krátkou prezentaci jejich činnosti. Následně navštívíme jejich datacentrum pod Žižkovskou věží. Provedou nás prostory, které jsou běžnému smrtelníkovi nedostupné!
Po ukončení prohlídky se všchni odebereme do hostince U vodoucha, Jagelonská 21, Praha 3 pochutnat si na některém z vybraných piv či dát si něco na zub. Rezervaci máme od 19:30, heslo je OpenAlt.
Ale pozor! Do prostor datového centra máme omezený přístup, dostane se tam pouze 10 lidí! Takže kdo přijde dříve, ten má přednost, a občanky s sebou! Kdo nebude chtít na prohlídku datového centra, může se pomalu přesunout do hostince U vodoucha a u nepřeberné nabídky piv počkat na ostatní.
Přidat komentář

18.1.2017 0:49 /František Kučera
Členové a příznivci spolku OpenAlt se pravidelně schází v Praze a Brně. Fotky z pražských srazů za uplynulý rok si můžete prohlédnout na stránkách spolku. Příští sraz se koná už 19. ledna – tentokrát je tématem ergonomie ovládání počítače – tzn. klávesnice, myši a další zařízení. Také budete mít příležitost si prohlédnout pražský hackerspace Brmlab.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

11.5.2017 23:32 / lelo
Re: Problém se správcem balíčků

11.5.2017 5:45 / davd mašek
Re: Problém se správcem balíčků

10.5.2017 22:54 / lelo
Re: Problém se správcem balíčků

10.5.2017 22:19 / davd mašek
Problém se správcem balíčků

17.4.2017 19:15 / Jakub shoop
chyba

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2017) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze