Nawigacja

Aktualnie online

Gości online: 33

Użytkowników online: 0

Łącznie użytkowników: 25,400
Najnowszy użytkownik: AlojzyBartek

Logowanie

Zarejestruj się

Odzyskaj hasło

Shoutbox

Musisz zalogować się, aby móc dodać wiadomość.

Zbigniew@

17.11.2024 11:33:24

Nie ten grzeszy kto pije, ale ten, kto się nie upije.

JazOOn

16.11.2024 20:46:18

tja

Zbigniew@

15.11.2024 18:58:17

Kto pije, ten nie bije.

JazOOn

31.10.2024 20:49:47

Kto pije?

piterus

30.10.2024 19:45:48

I będziemy śpiewać: "Kiedy 20 blisko, przebadaj wszystko, przebadaj wszystko..."

Archiwum shoutboksa

O nie! Ta strona potrzebuje włączonej obsługi języka JavaScript!

Twoja przeglądarka nie obsługuje tego języka lub ma wyłączoną jego obsługę. Włącz wykonywanie kodu JavaScript w swojej przeglądarce internetowej, aby skorzystać ze wszystkich funkcji strony
lub skorzystaj z programu obsługującego język JavaScript, np. Mozilla Firefox, Apple Safari, Opera, Google Chrome lub Windows Internet Explorer w wersji wyższej niż 6.

Zobacz temat

Polski Oficjalny Support PHP-Fusion » PHP-Fusion v5.00-v6.01 Support » Propozycje użytkowników

Dodawanie filmów przez submit.php za pomocą kodu osadź wideo a bezpieczeństwo
Joordan	#1 Dodany dnia 03.02.2010 19:33:45
Przedszkolak Postów: 39 Ostrzeżeń: 2 Data rejestracji: 03.01.2010 01:17	Zmodyfikowałem plik submit.php, tak abym mógł akceptować wysyłane filmy Dodałęm do niej również funkcje "Podgląd filmu". Filmy są dodawane zapomocą kodu osadź wideo np. Rozwiń Kod źródłowy HTML `<object width="640" height="344"><param name="movie" value="http://www.megavideo.com/v/PPPB9O9O1ff18cdea0c753d0ac85d3ea8866cf86"></param><param name="allowFullScreen" value="true"></param><embed src="http://www.megavideo.com/v/PPPB9O9O1ff18cdea0c753d0ac85d3ea8866cf86" type="application/x-shockwave-flash" allowfullscreen="true" width="640" height="344"></embed></object>` Kliknij i zaczekaj na załadowanie kodu ... Czy jest to bezpieczne rozwiązanie?. Kod odpowiedzialny za podgląd filmu GeSHi: PHP if (isset($_POST['preview_film'])) { $film_subject = stripinput($_POST['film_subject']); $film_snippet = stripinput($_POST['film_snippet']); $film_article = stripslash($_POST['film_article']); echo "<center><span class=tytul>"; echo $film_subject ; echo "</span><br><br>"; echo $film_article ; echo "<br><br></center>"; opentable(Opis); echo $film_snippet ; closetable(); tablebreak(); } if (!isset($_POST['preview_film'])) { $film_subject = ""; $film_snippet = ""; $film_article = ""; } <input type='submit' name='preview_film' value='".$locale['631']."' class='button'> Zinterpretowano w sekund: 0.028, wykorzystano GeSHi 1.0.8.10 Wiadomość doklejona: Chodzi o to że np. gdy ktoś zamiast kodu filmu wpisze </td></td></td></td> to rozjedzie mi się cała strona i tp. Wiadomość doklejona: Joordan napisał/a: Zmodyfikowałem plik submit.php, tak abym mógł akceptować wysyłane filmy Dodałęm do niej również funkcje "Podgląd filmu". Filmy są dodawane zapomocą kodu osadź wideo np. Rozwiń Kod źródłowy HTML `<object width="640" height="344"><param name="movie" value="http://www.megavideo.com/v/PPPB9O9O1ff18cdea0c753d0ac85d3ea8866cf86"></param><param name="allowFullScreen" value="true"></param><embed src="http://www.megavideo.com/v/PPPB9O9O1ff18cdea0c753d0ac85d3ea8866cf86" type="application/x-shockwave-flash" allowfullscreen="true" width="640" height="344"></embed></object>` Kliknij i zaczekaj na załadowanie kodu ... Czy jest to bezpieczne rozwiązanie?. Kod odpowiedzialny za podgląd filmu GeSHi: PHP if (isset($_POST['preview_film'])) { $film_subject = stripinput($_POST['film_subject']); $film_snippet = stripinput($_POST['film_snippet']); $film_article = stripslashes($_POST['film_article']); echo "<center><span class=tytul>"; echo $film_subject ; echo "</span><br><br>"; echo $film_article ; echo "<br><br></center>"; opentable(Opis); echo $film_snippet ; closetable(); tablebreak(); } if (!isset($_POST['preview_film'])) { $film_subject = ""; $film_snippet = ""; $film_article = ""; } <input type='submit' name='preview_film' value='".$locale['631']."' class='button'> Zinterpretowano w sekund: 0.022, wykorzystano GeSHi 1.0.8.10 Wiadomość doklejona: Chodzi o to że np. gdy ktoś zamiast kodu filmu wpisze </td></td></td></td> to rozjedzie mi się cała strona i tp. PW od moderatora: Zmiana nazwy tematu - hoopak 03.02 - 20:57 Przeniesienie tematu - hoopak 03.02 - 20:57 Edytowane przez Joordan dnia 03.02.2010 22:34:06


Wścibski Gość	Dodany dnia 24.11.2024 18:38:08
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze
IP: localhost

Konto ukryte	#2 Dodany dnia 03.02.2010 23:25:34
Początkujący Postów: 119 Ostrzeżeń: 6 Data rejestracji: 17.12.2005 10:56 ZBANOWANY: Dożywotnio	Tzn użytkownik podaje jako film kod <object... itp? Jeżeli tak, to nie za dobre rozwiązanie - lepiej np. bbcode zrobić do tego i zamieniać na kod ustawiony na sztywno (ale i tak dane filtrować).


Joordan	#3 Dodany dnia 04.02.2010 00:31:51
Przedszkolak Postów: 39 Ostrzeżeń: 2 Data rejestracji: 03.01.2010 01:17	LukasAMD napisał/a: Tzn użytkownik podaje jako film kod <object... itp? Jeżeli tak, to nie za dobre rozwiązanie - lepiej np. bbcode zrobić do tego i zamieniać na kod ustawiony na sztywno (ale i tak dane filtrować). Nie chcę w ten sposób robić bo to mało uniwersalne. Ale ogólnie obecne rozwiązanie jakie niesie zagrożenia ze sobą?? Chyba zrobię formularz dodaj link do filmu np. "http://www.youtube.com/watch?v=oC4gsipGfQU" i sam będę dodawał kod w postaci <object... itp


piotrek199214	#4 Dodany dnia 04.02.2010 06:42:06
Bywalec Postów: 977 Pomógł: 168 v7.01.05 Data rejestracji: 17.12.2007 21:05	Można zrobić tak: Użytkownik będzie wklepywał adres do filmiku czyli: Rozwiń Kod źródłowy `http://www.megavideo.com/v/PPPB9O9O1ff18cdea0c753d0ac85d3ea8866cf86` rozdzielczość a system będzie miał gotowy wzór czyli: Rozwiń Kod źródłowy `<object width="zmienna_width" height="zmienna_height"><param name="movie" value="zmienna_link"></param><param name="allowFullScreen" value="true"></param><embed src="zmienna_link" type="application/x-shockwave-flash" allowfullscreen="true" width="zmienna_width" height="zmienna_height"></embed></object>` Pozdrawiam Edytowane przez Pieka dnia 07.02.2010 03:05:14 Pomogłem Ci? Wystarczy podziękować i oznaczyć post jako pomocny Tanie tworzenie wtyczek, masz problem napisz.


Joordan	#5 Dodany dnia 04.02.2010 16:07:59
Przedszkolak Postów: 39 Ostrzeżeń: 2 Data rejestracji: 03.01.2010 01:17	piotrek199214 napisał/a: Można zrobić tak: Użytkownik będzie wklepywał adres do filmiku czyli: Rozwiń Kod źródłowy `http://www.megavideo.com/v/PPPB9O9O1ff18cdea0c753d0ac85d3ea8866cf86` rozdzielczość a system będzie miał gotowy wzór czyli: Rozwiń Kod źródłowy `<object width="zmienna_width" height="zmienna_height"><param name="movie" value="zmienna_link"></param><param name="allowFullScreen" value="true"></param><embed src="zmienna_link" type="application/x-shockwave-flash" allowfullscreen="true" width="zmienna_width" height="zmienna_height"></embed></object>` Pozdrawiam A teraz popatrz na kod z googlevideo GeSHi: XML `<embed id=VideoPlayback src=http://video.google.pl/googleplayer.swf?docid=1811233136844420765&hl=pl&fs=true style=width:400px;height:326px allowFullScreen=true allowScriptAccess=always type=application/x-shockwave-flash> </embed> Zinterpretowano w sekund: 0.000, wykorzystano GeSHi 1.0.8.10` link z osadź wideo GeSHi: XML `http://video.google.pl/googleplayer.swf?docid=1811233136844420765&hl=pl&fs=true Zinterpretowano w sekund: 0.000, wykorzystano GeSHi 1.0.8.10` Link z paska adresu GeSHi: XML `http://video.google.pl/videoplay?docid=1811233136844420765&ei=jdtqS-39CY6M2AKov6i5CA&q=video&hl=pl# Zinterpretowano w sekund: 0.000, wykorzystano GeSHi 1.0.8.10` Przedtem mialem wbity w thema w miejce odpowiadające za wyświetlanie filmów kod: GeSHi: XML `<object width="800" height="600"><param name="movie" value="zmienna_link"></param><param name="allowFullScreen" value="true"></param><embed src="zmienna_link" type="application/x-shockwave-flash" allowfullscreen="true" width="800" height="zmienna_height"></embed></object> Zinterpretowano w sekund: 0.001, wykorzystano GeSHi 1.0.8.10` Ateraz tylko $zmienna_link co odpowiada za cały kod Zastanawiałem się nad takim rozwiązaniem jak proponujesz ale wydaje mi się że to za dużo kombinowania. Edytowane przez Pieka dnia 07.02.2010 03:04:03


piotrek199214	#6 Dodany dnia 04.02.2010 16:17:54
Bywalec Postów: 977 Pomógł: 168 v7.01.05 Data rejestracji: 17.12.2007 21:05	Czy ja wiem czy dużo kombinowania, raczej nie. Pomogłem Ci? Wystarczy podziękować i oznaczyć post jako pomocny Tanie tworzenie wtyczek, masz problem napisz.


phm	#7 Dodany dnia 04.02.2010 21:50:19
Przedszkolak Postów: 16 Pomógł: 2 Data rejestracji: 04.02.2010 21:28	Przyznam, że nie do końca rozumiem ideę Twojego kodu. Użytkownik wprowadza link do formularza, Ty go pobierasz i "obrabiasz" w tagi object, itd, odpowiedzialne za prawidłowe wyświetlenie filmu? Pytasz, czy to bezpieczne. W Twoim skrypcie nie widzę niczego, co sprawdzałoby poprawność wprowadzonych danych. Stosujesz stripshlashes(), które odpowiada jedynie za zabawę slashami (znaczkami typu / ) i które stosuje się, gdy flaga magic_quotes_gpc jest ustawiona (on). Otrzymane linki przechowujesz najprawdopodobniej w bazie danych (zgaduję, bo z kodu to też nie wynika). Do zabaw z wysyłanymi do bazy danych ciągów znaków, polecam mysql_real_escape_string (w manualu przeczytasz sobie zalety tej funkcji). Chodzi o to że np. gdy ktoś zamiast kodu filmu wpisze </td></td></td></td> to rozjedzie mi się cała strona i tp. Tutaj sam odpowiedziałeś sobie na pytanie odnośnie bezpieczeństwa. Nie filtrujesz danych całkowicie poprawnie. Twój skrypt podatny jest na XSS oraz HTML Injection (i w zależności od konfiguracji serwera można podpiąć jeszcze SSI Inj. ). Już tłumaczę jak to działa. Ktoś, zamiast linku filmu przesyła Ci złośliwy kod JavaScript, bądź nawet prostą ramkę prowadzącą do zawirusowanej strony. Ty, niczego nieświadomy sprawdzasz nadesłane linki. Przeglądarka trafia na złośliwy kod i wykonuje go (taka już jej robota). Jak zaradzić Twojemu problemowi? Są dwa rozwiazania (i najlepiej zastosować oba): 1. pobawić się funkcjami takimi jak htmlspecialchars(), czy strip_tags() go usunięcia wszystkich tagów HTML z wprowadzanego ciagu 2. zaraz po otrzymaniu ciągu znaków, mającego być linkiem do filmu, sprawdzić za pomocą wyrażeń regularnych, czy string jest rzeczywiście linkiem (budowę linka każdy zna) Edytowane przez phm dnia 04.02.2010 21:51:08


Joordan	#8 Dodany dnia 07.02.2010 00:55:34
Przedszkolak Postów: 39 Ostrzeżeń: 2 Data rejestracji: 03.01.2010 01:17	Super, dziekuje. Naprawde wyczerpałeś temat i dużo się od ciebie dowiedziałem :) Link do filmu jest oczywiście wysyłany do bazy sql. A idea miała być taka aby każdy mógł podejrzeć przed wysłaniem, tekst miniatórkę obrazka i film w formie takiej jak na gotowej pod stronie z filmem. Rezugnuje z tego bo głowa już mnie od tego rozbolała :) A jeśli w miejscu odpowiedzialnym za wysyłanie linka do bazy, stripshlashes zamienie na stripinput to też będzie dobrze? W-tedy każdy kod HTML itp. powinien być wyświetlany jako zwykły tekst...? Np.: Rozwiń Kod źródłowy `$link = stripinput($POST['link'])` Edytowane przez Pieka dnia 07.02.2010 01:07:55


phm	#9 Dodany dnia 07.02.2010 02:14:16
Przedszkolak Postów: 16 Pomógł: 2 Data rejestracji: 04.02.2010 21:28	Powiem w skrócie tak: Cokolwiek wysyłasz do bazy danych - musi być sprawdzone pod względem możliwości wstrzyknięcia kodu SQL (SQL Injection). Cokolwiek wyświetlasz na stronie w postaci kodu, musi być sprawdzone pod względem tagów (XSS i HTML Injection). jeśli pomogłem - kliknij pomógł pajacyk.pl - kliknij w pajacyka

Przejdź do forum:

Twój link u nas!

Nawigacja

Główne menu

Komunikacja

Elementarz

Dokumentacja

Aktualnie online

Logowanie

Shoutbox

Zobacz temat