Ubuntu Suomen keskustelualueet

Ubuntun käyttö => Ohjelmointi, palvelimet ja muu edistyneempi käyttö => Aiheen aloitti: teele - 12.12.20 - klo:11.44

Otsikko: [ ratkaistu ] Syöteturvallisuus, php-koodia input text -kentästä?
Kirjoitti: teele - 12.12.20 - klo:11.44

Onko olemassa mahdollisuus, että esimerkiksi html-koodista

Koodia: [Valitse]

<p>
Osallistujanumero
<input type = "Text" value ="testisyöte" name = "testisyötekenttä" onfocus="this$
</p>


lähetetään php $POSTille arvona vaikka php-koodia ja sitten, kun käytetään $POSTin arvoa esimerkiksi näin

Koodia: [Valitse]

muuttuja = $POST['testisyötekenttä']

suoritetaankin kentän arvona ollut php-koodi.

Jos on mahdollista, mikä olisi oikea tapa estää se.

Otsikko: Vs: Syöteturvallisuus, php-koodia input text -kentästä?
Kirjoitti: nm - 12.12.20 - klo:13.43

PHP ei suorita lomakkeen kautta luettua POST-merkkijonoa koodina. Se pitäisi tehdä erikseen eval-funktiolla (https://www.php.net/manual/en/function.eval.php), jota kannattaa välttää koodissa, jos suinkin mahdollista.

Tietokantoja käytettäessä on oltava varuillaan SQL-injektioiden osalta, eli käyttäjän syöttämiä merkkijonoja tai muuta epäluotettavasta lähteestä tulevaa dataa ei pidä sijoittaa sellaisenaan SQL-lausekkeeseen, vaan lauseke kannattaa muodostaa esimerkiksi prepared statementin ja siihen sidottujen muuttujien avulla.

Katso: https://www.php.net/manual/en/security.database.sql-injection.php

Otsikko: Vs: Syöteturvallisuus, php-koodia input text -kentästä?
Kirjoitti: teele - 13.12.20 - klo:08.59

 
Kiitos, oli selkeä vastaus  :)