Mysql column klaida

Tai va susiduriau su tokia klaida ir nežinau kaip ja iškresti.

žmones kurdami tema ir irasšydami i description skilti savo texsta atrodo viskas gerai. Bet atsiranda gudručiu kurie i description skilti irašo script url, tada visa mano tinklapi nukreipia i jo nurodyta tinklapi.

pvz kažkas panašaus:

<script src="gudručio tinklapis"></script>

mysql description column atrodo taip:

`description` text NOT NULL,

Čia kaltas php koduotė ar column?

:D

htmlspecialchars();

striptags();

Ir t.t.

:D

 

htmlspecialchars();

striptags();

 

Ir t.t.

Daugiau informacijos, nes nieko nesupratau :)

Tipinė XSS spraga. Kai išvedinėji turinį iš duomenų bazės, išvedinėk ne

echo $turinys;

, bet

echo htmlspecialchars($turinys);

Funkcija pakeis visokius <, >, ' ir kitus spec. ženklus jų atitinkamais HTML kodais, ir jie bus atvaizduojami korektiškai. Output'ą visada reikia labai kruopščiai filtruoti. Kaip ir input'ą. Prašom užeiti čia.

Daugiau informacijos, nes nieko nesupratau :)

Praleisk visa informacija kuria irasineji i description pro sitas funkcijas ir tik tada irasyk i duomenu baze :)

Cia visus special simbolius pakeis i ju kuodote, o tas kitas sudes slashus pries kabutes ir jo kodas neveiksmingas bus.

if ($query->rowCount() > 0) {
	$server_data = $query->fetch();
	$allow_vote_banners = true;
} else {

	$server_data['description'] = read_session('description');

}

Ištraukiau iš php koda, parodyk kaip padarytum tu. Ateiti žinosčiau kaip reikės. Ačiu už pagalba.

function apsauga($post){
$post = htmlspecialchars($post);
$search = array('|',  '$', '\\', '^', '%', '`', "\0", "\x00", "\x1A");
$replace = array('|',  '$', '\', '^', '%', '`', '', '', ''); // cia isvest turi pvz  169;, atvaizduoja cia tokius kodus :)
$post = str_replace($search, $replace, $post);
$post = trim($post);
$post = mysql_real_escape_string($post);
$post = strip_tags($post);
return $post;
}

sita funkcija gali naudoti pries irasant i sql. gali dar apsidraust ir isvedant is mysql (real escape nereiktu tokio atvejiu)

p.s jei nori kad irasytu tarkim tik skaicius, tik didziasias raides ir t.t ir t.t naudok preg_replace.

function apsauga($post){
$post = htmlspecialchars($post);
$search = array('|',  '$', '\\', '^', '%', '`', "\0", "\x00", "\x1A");
$replace = array('|',  '$', '\', '^', '%', '`', '', '', ''); // cia isvest turi pvz  169;, atvaizduoja cia tokius kodus :)
$post = str_replace($search, $replace, $post);
$post = trim($post);
$post = mysql_real_escape_string($post);
$post = strip_tags($post);
return $post;
}

sita funkcija gali naudoti pries irasant i sql. gali dar apsidraust ir isvedant is mysql (real escape nereiktu tokio atvejiu)

 

p.s jei nori kad irasytu tarkim tik skaicius, tik didziasias raides ir t.t ir t.t naudok preg_replace.

NE.

Baisu. Išnagrinėkim po vieną funkciją.

htmlspecialchars – turėtų būti naudojamas atvaizdavimo metu. Duomenų bazėje visada turi būti laikomi tikri duomenys, o ne išescapinti vienam ar kitam formatui.

str_replace – kam keisti tuos? Į formą nesukiš vis tiek NUL baito normaliai, visa kita keičiama beprasmiškai.

trim – ok.

real_escape – reikia naudoti ne ext/mysql, o PDO ar (mysqli) ir jų prepared statements.

strip_tags – atleiskit už žodyną, bet na..ui? Atvaizdavimo metu metant htmlspecialchars ir taip nebeliks kaip įkišti XSS. O jei tavo vartotojas norės parašyti HTML pavyzdį (be atvaizdavimo, tiesiog kaip gryną tekstą)? Ims juk ir ištrins visus tagus jau jam postinant. Čia, aišku, imu strip_tags veikimą atskirai. Jai išvis nebeliks ką veikti, kai vykdai kaip dabar, jau po htmlspecialchars...

Nesąmonė. Negalima kurti vienoje funkcijoje ir duomenų bazei paruošimo, ir atvaizdavimui, ir dar kažkokių dalykų.

Viskas, ko reikia autoriui šiuo atveju, yra XSS apsauga (htmlspecialchars) išvedimo metu.

NE.

 

Baisu. Išnagrinėkim po vieną funkciją.

 

htmlspecialchars – turėtų būti naudojamas atvaizdavimo metu. Duomenų bazėje visada turi būti laikomi tikri duomenys, o ne išescapinti vienam ar kitam formatui.

str_replace – kam keisti tuos? Į formą nesukiš vis tiek NUL baito normaliai, visa kita keičiama beprasmiškai.

trim – ok.

real_escape – reikia naudoti ne ext/mysql, o PDO ar (mysqli) ir jų prepared statements.

strip_tags – atleiskit už žodyną, bet na..ui? Atvaizdavimo metu metant htmlspecialchars ir taip nebeliks kaip įkišti XSS. O jei tavo vartotojas norės parašyti HTML pavyzdį (be atvaizdavimo, tiesiog kaip gryną tekstą)? Ims juk ir ištrins visus tagus jau jam postinant. Čia, aišku, imu strip_tags veikimą atskirai. Jai išvis nebeliks ką veikti, kai vykdai kaip dabar, jau po htmlspecialchars...

 

Nesąmonė. Negalima kurti vienoje funkcijoje ir duomenų bazei paruošimo, ir atvaizdavimui, ir dar kažkokių dalykų.

 

Viskas, ko reikia autoriui šiuo atveju, yra XSS apsauga (htmlspecialchars) išvedimo metu.

na seip as ir neliepiau naudoti visu funkciju (maniau jeigu domisi kurimu pasidomes ar reikalinga, ar nereikalinga), ir beto del real reikia tai ne man sakyti, o autoriui. jis naudoja mysql o as tik parasiau apsaugos funkcija. bet malonu kad pataisei, pravers ir man is geriau zinancio zmogaus ;)

ir beto del real reikia tai ne man sakyti, o autoriui. jis naudoja mysql o as tik parasiau apsaugos funkcija.

Na kad kaip tik sprendžiant iš kodo dalies, autorius naudoja PDO, kaip ir turi būti. Aišku nesimato ar naudoja prepared statement'us, bet ext/mysql nuo PDO gi gan lengva atskirt :)