Tvorme bezpečnejší web - funkcie strip_tags() a addslashe

p360t · Napísal **p360t**: 23.04.2007 21:34

evTOM ma požiadal o vysvetlenie dvoch funkcií, ktoré som spomenul v nejakej téme. Určite bude dobré, ak si to prečítajú aj ostatní. Takže tu je:

Každá aplikácia sa musí brániť pred útokmi zvonku. Takéto útoky na webové aplikácie sa najčastejšie robia dvomi formami (ak nerátame sociálne inžinierstvo, tj. lákanie citlivých dát od ľudí na falošné emaily a pod): XSS (Cross-site scripting) a SQL Injection.

XSS - útoky sa vykonávajú najčastejšie vložením kúsku Javascriptového kódu. Ten, aby sa vykonal, musí byť uzavretý do značiek <script> a </script>. Preto musíme všetky dáta, ktoré ukladáme do databázy, alebo inak zobrazujeme na stránke (tj. všetky, ktoré nejdú priamo z PHP kódu, ale z formulárových polí, databáz a pod.) "prefiltrovať" a odstrániť z nich nechcené HTML tagy (predovšetkým <script> ale aj iné, škodiť sa dá hociako). Funkcia strip_tags() tieto tagy odstráni (druhým jej nepovinným parametrom sú tagy, ktoré sú povolené, tj. dá sa nastaviť, aby napr. komentujúci mohol vložiť tučný text a pod. Viac v PHP manuáli).

SQL Injection - tieto útoky smerujú pochopiteľne na databázu. Využívajú fakt, že SQL používa znak apostrofu ako hraničný znak v reťazcoch a pod. Akonáhle pri spracúvaní požiadavky SQL narazí na apostrof, spracúva dáta, až kým nenarazí na druhý apostrof. Potom začne vykonávať nasledujúce príkazy v SQL požiadavke. Je veľmi jednoduché do nejakého reťazca vložiť napr: '1; DELETE FROM nejaka_tabulka'. Takáto SQL požiadavka by znamenala vymazanie celej tabuľky. Preto sa používa funkcia addslashes() (pozor, ak máš nastavenú direktívu MAGIC_QUOTES_GPC na "on", funkcia addslashes() sa automaticky aplikuje na všetky dáta pochádzajúce z GET, POST a COOKIE, preto už netreba addslashes používať). Táto funkcia vloží pred každý "problematický" znak (nie len apostrof, ale aj úvodzovky a spätné lomítko) tzv. escape sekvenciu - jedno spätné lomítko. Databázový stroj potom s takto escapovaným apostrofom narába ako s každým iným bežným znakom. Ako som už spomínal, ak máš nastavené magic_quotes_gpc na hodnote "on", netreba addslashes používať. Ale pozor - stačí jeden neohlásený zásah admina a nebezpečenstvo je na svete. Pre úplnosť dodám, že existuje funkcia stripslashes(), ktorá tie escapovacie spätné lomítka z textu odoberie a vráti ho do pôvodného stavu. To sa používa, keď dáta zobrazuješ.

Toto rozhodne nie je všetko, čo by mal človek o bezpečnosti svojich aplikácií vedieť, je toho omnoho viac. Ja sám nie som bohvieaký expert na bezpečnosť. Rozhodne odporúčam si o tom niečo prečítať, či už na nete, alebo napr. v tejto knihe (nie je zbytočne zdĺhavá, autor hovorí jasne a k veci, skutočne to nie sú vyhodené peniaze).

Ak máte ešte nejaké otázky, niečo na doplnenie, prípadne som niečo povedal zle, je tu priestor na diskusiu...

mokus · Napísal **mokus**: 24.04.2007 9:24

p360t píše:

... Preto sa používa funkcia addslashes() (pozor, ak máš nastavenú direktívu MAGIC_QUOTES_GPC na "on", funkcia addslashes() sa automaticky aplikuje na všetky dáta pochádzajúce z GET, POST a COOKIE, preto už netreba addslashes používať). ...

Len predpokladám, že pri nastavení direktívy MAGIC_QUOTES_GPC na "on", sa nič nestane ak pre istotu použijem ešte aj ja funkciu addslashes(),
môžeš mi to potvrdiť?

mylan · Napísal **mylan**: 24.04.2007 10:31

Stane, budú sa ti to dvojnásobne backslashovať. Preto bude potom text s úvodzovkami napríklad "text" vyzerať takto: \\\"text\\\" namiesto \"text\"

mokus · Napísal **mokus**: 24.04.2007 13:06

tak ako to mám riešiť, aby som to mal zabezpečené aj v prípade, že admin servera inkriminovanú funkciu vypne (hoci omylom, alebo len dočasne) ?
môžem to riešiť nejakou podmienkou (if) ?

mylan · Napísal **mylan**: 24.04.2007 13:20

Dá, ja na to používam funkciu:

Kód:

function add_slashes($str) {
  return (get_magic_quotes_gpc() ? $str : addslashes($str));
}

Tvorme bezpečnejší web - funkcie strip_tags() a addslashe

Podobné témy