PHP - správné ošetření vstupu

I.

PHP - správné ošetření vstupu
« kdy: 09. 05. 2012, 19:54:27 »
Ahoj, potřeboval bych trochu nakopnout.

Potřebuji vzít vstupy ze stránek, uložit je do souboru a následně přeposlat na e-mail. Co vše je potřeba ověřovat za vstupy v případě, kdy samotný kód nejprve putuje do proměné, projde přes a následně je uložen do txt souboru a zobrazuje se ve výsledku až v rámci webmail rozhraní?

Htmlspecialchars a podobné hraní by mělo díky mezikroku s txt souborem ztratit význam, nebo ne? Co by to vyvedlo s nulovými byty, XSS a podobnými radůstkami? Popřípadě co by jste ještě doporučili ošetřit?

Díky za radu, s pozdravem Ivan


DK

Re:PHP - správné ošetření vstupu
« Odpověď #1 kdy: 09. 05. 2012, 20:02:50 »
vse ukladas hned do promenne a pak hned do souboru?

tam odpadaji veskere typy injection, takze maximalne XSS a CSRF, zalezi, co se presne s temi vstupy bude dit (a to nikde tady nevidim)

aaaaaaaaaaaaa

Re:PHP - správné ošetření vstupu
« Odpověď #2 kdy: 09. 05. 2012, 20:17:18 »
Ja by som si dal pozor na znaky s ASCII < 32 + pri webmaile htmlspecialchars. Na \n by som si dal pozor, aby to nesposobilo problem, ze vznikne "nova" hlavicka mailu.

Re:PHP - správné ošetření vstupu
« Odpověď #3 kdy: 09. 05. 2012, 20:19:44 »
Ten súbor je posielaný ako príloha alebo priamo text emailu?
Nech je to tak alebo tak, môže sa stať, že webmail to bude z nejakého dôvodu považovať za vírus.

I.

Re:PHP - správné ošetření vstupu
« Odpověď #4 kdy: 09. 05. 2012, 20:45:34 »
Díky za reakce! O co jde..

Je to přímo v tělu mailu. PHP vlastně reaguje na různé vstupy na stránkách (pokusy o login, vyhledávání, IP adresy a reverzní záznamy... tvořím si takové malé rozšíření k WP, protože mi stávavající moc nehoví) a ukládá je právě kvůli zkoumání případných pokusů o průnik. Tudíž většina vstupů projde nějakými podmínkami na "rozřazení" a jde  rovnou a do txt (v prohlížeči může být max při ruční kontrole logů přes webftp a nebo ve finále ve web mailu + používám ještě mail klienta v javě) a to prostě proto, že mi přišlo zbytečné kvůli tomu tahat databázi. A txt je svým způsobem i bezpečnější. Výsledek je pak odeslán na mail a obsah je přímo v těle. Vzhledem k tomu, co to lape je to tak trochu o hubu a vážně nejsem nějaký php guru aby mě napadly všechny možné finty co jsou provést.

Co se html specialchars + kontroly char týče, určitě dobrý nápad a dík. Přemýšlím jestli jsou ale vůbec třeba, když to prochází tím texťákem a funkce mail() odeslá vlastně zase jen plain text. Zatím ale žiju ve světě, kde je plaintext neškodný :)


aaaaaaaaaaaaa

Re:PHP - správné ošetření vstupu
« Odpověď #5 kdy: 09. 05. 2012, 20:52:17 »
Přemýšlím jestli jsou ale vůbec třeba, když to prochází tím texťákem a funkce mail() odeslá vlastně zase jen plain text. Zatím ale žiju ve světě, kde je plaintext neškodný :)
Plaintext *je* neskodny, ak je vhodne osetreny (viz SQL injection). Toto je nieco podobne - tiez ide len o podvhnutie niecoho, co sa necaka. Otazka je, nakolko to postihne konkretne teba: http://en.wikipedia.org/wiki/Email_injection