Fórum Root.cz

Hlavní témata => Vývoj => Téma založeno: I. 09. 05. 2012, 19:54:27

Název: PHP - správné ošetření vstupu
Přispěvatel: I. 09. 05. 2012, 19:54:27

Ahoj, potřeboval bych trochu nakopnout.

Potřebuji vzít vstupy ze stránek, uložit je do souboru a následně přeposlat na e-mail. Co vše je potřeba ověřovat za vstupy v případě, kdy samotný kód nejprve putuje do proměné, projde přes a následně je uložen do txt souboru a zobrazuje se ve výsledku až v rámci webmail rozhraní?

Htmlspecialchars a podobné hraní by mělo díky mezikroku s txt souborem ztratit význam, nebo ne? Co by to vyvedlo s nulovými byty, XSS a podobnými radůstkami? Popřípadě co by jste ještě doporučili ošetřit?

Díky za radu, s pozdravem Ivan

Název: Re:PHP - správné ošetření vstupu
Přispěvatel: DK 09. 05. 2012, 20:02:50

vse ukladas hned do promenne a pak hned do souboru?

tam odpadaji veskere typy injection, takze maximalne XSS a CSRF, zalezi, co se presne s temi vstupy bude dit (a to nikde tady nevidim)

Název: Re:PHP - správné ošetření vstupu
Přispěvatel: aaaaaaaaaaaaa 09. 05. 2012, 20:17:18

Ja by som si dal pozor na znaky s ASCII < 32 + pri webmaile htmlspecialchars. Na \n by som si dal pozor, aby to nesposobilo problem, ze vznikne "nova" hlavicka mailu.

Název: Re:PHP - správné ošetření vstupu
Přispěvatel: rooobertek 09. 05. 2012, 20:19:44

Ten súbor je posielaný ako príloha alebo priamo text emailu?
Nech je to tak alebo tak, môže sa stať, že webmail to bude z nejakého dôvodu považovať za vírus.

Název: Re:PHP - správné ošetření vstupu
Přispěvatel: I. 09. 05. 2012, 20:45:34

Díky za reakce! O co jde..

Je to přímo v tělu mailu. PHP vlastně reaguje na různé vstupy na stránkách (pokusy o login, vyhledávání, IP adresy a reverzní záznamy... tvořím si takové malé rozšíření k WP, protože mi stávavající moc nehoví) a ukládá je právě kvůli zkoumání případných pokusů o průnik. Tudíž většina vstupů projde nějakými podmínkami na "rozřazení" a jde  rovnou a do txt (v prohlížeči může být max při ruční kontrole logů přes webftp a nebo ve finále ve web mailu + používám ještě mail klienta v javě) a to prostě proto, že mi přišlo zbytečné kvůli tomu tahat databázi. A txt je svým způsobem i bezpečnější. Výsledek je pak odeslán na mail a obsah je přímo v těle. Vzhledem k tomu, co to lape je to tak trochu o hubu a vážně nejsem nějaký php guru aby mě napadly všechny možné finty co jsou provést.

Co se html specialchars + kontroly char týče, určitě dobrý nápad a dík. Přemýšlím jestli jsou ale vůbec třeba, když to prochází tím texťákem a funkce mail() odeslá vlastně zase jen plain text. Zatím ale žiju ve světě, kde je plaintext neškodný :)

Název: Re:PHP - správné ošetření vstupu
Přispěvatel: aaaaaaaaaaaaa 09. 05. 2012, 20:52:17

Citace: I.  09. 05. 2012, 20:45:34

Přemýšlím jestli jsou ale vůbec třeba, když to prochází tím texťákem a funkce mail() odeslá vlastně zase jen plain text. Zatím ale žiju ve světě, kde je plaintext neškodný :)

Plaintext *je* neskodny, ak je vhodne osetreny (viz SQL injection). Toto je nieco podobne - tiez ide len o podvhnutie niecoho, co sa necaka. Otazka je, nakolko to postihne konkretne teba: http://en.wikipedia.org/wiki/Email_injection