$_POST['pole']['item'] kombinácia viacerých typov inputov

Dobrý deň vospolok!

Len sa chcem spýtať, či môžu mať všetky polia(rôznych typov) vo formulári name v tvare name="pole['id']"

Viem, že checkboxi sa tak bežne odosielajú, ale čo kombinácia viacerých typov?
Mne to funguje, len chcem vedieť či v tom neni nejaký zakopaný kocúr o ktorom by som nevedel...


EDIT:
Ešte jednu vec sa chcem spýtať. Kľúče toho poľa by sa dali tiež použiť pri SQL injection, že ano??? Ak ich teda dávam do insertu ako kľuče...

funguje? funguje, sám si sa o tom presvedčil, nerozumiem teda prečo si tu otázku položil.


no logicky áno, tiež nerozumiem otázke, veď je to logické. filtruj iba kľúče, ktoré sa vyskytnúť môžu. potom sa nemáš čoho báť

Pýtal som sa kôli tomu kocúrovi...

Vďaka za názor.

Ja by som sa potreboval ešte raz vrátiť k tejto téme ak dovolíte...

Totiž potrebujem tie kľúče oescapovať, lebo použiť whitelist ako navrhol aj emer nechcem. Je tam veľa polí (desiatky) a príde mi efektívnejšie escapovať to než to porovnávať oproti tomu whitelistu.

Najprv som si myslel, že bude stačiť addslashes, ale ako som zistil tak mysql pri kľúčoch neberie úvodzovky len " ` ".
Tak som to riešil takto cez addclslashes:


Všade sa píše o nulovom byte ktorý neviem zapísať, tak sa vás pýtam, ako to tam doplniť a či je tento spôsob postačujúci?

Moc vďaka...

ake tvary maju tie kluce?

Normálne stringy... nerozumiem čo tým myslíš. Tu už nejde o tie polia v 8_POSTe ale len o správne ošetrenie tých kľúčov... Okolo fcie addcslashes sú totiž popísané veci ktorým moc dobre nerozumiem ako napr. c-like style a pod...

no ved ake maju tvary tie kluce...

name_0
name_1

alebo hocijake retazce? alebo je 100 variantov a iba tie mozu byt?
alebo ty vopred nevies ake budu ? (co je imho blbost)

ja by som si spravil regularny vyraz, ktoremu by vyhovovali iba dane retazce. a najprv skontrolujes, ci fakt posielaju to co chces..

pripadne, druhy variant, posli si vsetky mozne kluce a zachyt ich. nasledne z toho sprav whitelist (aby si sa nenarobil). nie je to zdlhave a urcite najbezpecnejsie..
lebo je blbost iba osetrovat vstup tym, ze escapnes apostrofy atp... zapises do databazy nieco, co tam vobec nema byt?!

To už by bol prijateĺnejší ten whitelist ako regulárny výraz. Asi netreba vysvetľovať prečo. Ja samozrejme viem z DB vytiahnuť názvy stĺcov a urobiť z nich ten whitelist. Len mi to prišlo ako neefektívne oproti addcslashes.

A naozaj si myslíš, že escapovať nestačí? Ako potom ošetruješ vstupy ty?

PS: Ja samozrejme nejdem do DB zapisovať nejaké podozrivé vstupy od nejakého dobrodincu ktorý sa bude snažiť poslať mi nejako modifikovaný formulár. Proste takú požiadavku nechám padnúť, len musím dosiahnuť, aby to bolo bezpečné.

tak teraz som uz zmateny z toho co riesite. ak potrebujes osetrovat vstupy pred sql injection, addslashes je samozrejme blbost, miesto toho pouzi mysql_real_escape_string a o tom uz neviem ze by sa dalo nejak prelomit.

PHP.net:

To vyzerá, že tvoja superfunkcia nerobí vlastne tiež nič iné ako escapovanie. Len ja potrebujem akurát to čo ona nerobí, preto addcslashes. Ale vďaka aspoň som tam našiel zoznam znakov, ktoré treba escapnúť.


A ak mi niekto vie povedať či sa dá Mysql podstrčiť niečo v tom zmysle ako pri Javascript injection, keď sa používa hexadecimálne vyjadrenie znakov a JS to zožerie... Pokiaľ viem tak nie, ale zase až toľko toho neviem, tak sa pýtam...

EDIT:
Takže teraz to vyzerá takto:

PS: ale ja tam vlastne nepotrebujem escapovat uvodzovky a tie ostane znaky tiez neviem.... Mozem za to, ze som este nehekol ziadnu stranku a neviem ako sa to presne robi? Je tu niekto, kto mi to vie vysvetlit? Stacil by odkaz na nejaku zivu ukazku...

Ten whitelist je jednoznacne najbezpecnejsie riesenie.

Ešte sa spýtam inak:

Je tu niekto, kto by mi dokázal poslať do DB injekciu, ak by som vstup ošetril týmto(ide o tie kľúče preto tam nie sú úvodzovky):

Neviem, ale ta funkcia funguje zle, skus si napriklad osetrit vstup s pismenom r a vlozit ho do DB.

camo, v prvom rade, neviem, ci za tym su tvoje medzery v znalosti principov escapovania alebo len preklep, ale na prvy pohlad vidim, ze tvoj kod neosetri ani spatne lomitko => aplikacia je derava ako sito. Aj bez toho sa mi to zda ako nevhodne riesenie, addslashes sa da v zriedkavych pripadoch oklamat (pogoogli addslashes bypass), a vobec, naozaj chces umoznit uzivatelovi zmenit obsah ktorehokolvek pola alebo aby zadanim nezmyselneho nazvu pola vyvolal chybovu hlasku?

Ďuri:
Neviem či som nepochopil, ale keď som skúšal ten kódik, tak spätné lomítka escapovalo ako som potreboval. Asi myslíš, že ho treba zdvojiť. Ale to len ak je na konci toho výčtu.

A ide tu o to, že užívateľ má práve vybrať polia ktoré chce mať zaškrtnuté. Ako inak by som to mohol riešiť?

Zadanie chybového poľa je jasná správa o nekalých úmysloch a to neriešim....

PS: Ako vidím tak mám medzery, dvojité lomítko mi to zežerie...

tvrdohlavec tvrdohlavy



uz ti to bolo niekolko krat povedane..

povedz mi, co mas proti whitelistu? vytiahnes si teda kluce z DB do pola, a uz len kontrolujes funkciami. Napr. mozes pouzit in_array(). Je to najbezpecnejsie a mozno aj najefektivnejsie.. Nechapem, co na tom vidis neefektivne..

Emer:
No neefektívne mi to príde preto, že:
1. je tam požiadavka na DB navyšše
2. porovnávať sa musia dve roziasiahle polia
3. okrem toho musím ošetriť aj hodnoty

Či to je málo? Mne to pride ako dost...

Ja sa pýtam hlavne preto, aby som do toho dostal nejaké svetlo a vy reagujete ako keby som vám chcel odhryznúť z nosa.
Asi lepšie by som urobil keby som sem dal nejaký kód s addslashes a napísal vám, že by som potreboval aby mi niekto napísal ten kód lebo mi to nefachá, tak ako to tu býva zvykom...


PS:
Takúto escape funkciu som našiel v knihe Zranitelný kód:


Tá by sa vám ako pozdávala?

Napadá ma, že by bolo ideálne ak by saa dali do insertu písať čísla stĺpcou. Ale nevyzerá to, že by to šlo...

1. poziadavku ti staci spravit raz a ulozit to "rucne" do pola zapisom $pole = array(...);, no aj keby. vravel si, ze klucov su desiatky - to je pre DB nieje vobec problem, 1 ms ta nezabije. no popripadne existuje aj cachovanie

2. co su to rozsiahle polia? 100 prvkov vobec nie je rozsiahle pole. raz som robil porovnavanie prvkov v poli, mal som ich okolo 40 000 - 60 000 !! a spravilo to za cca 0.3 sekundy. takze tvoja stovka je oproti tomu neuplny prd.

3. PHP nie je na tom az tak zle, zeby mu to robilo problem...

edit::

ze si to ty spravil som ti taky minitest..



v1 - pouzitie tej tvojej SQLstring
v2 - addslashes
v3 - addcslashes
v4 - porovnavanie pola sposob 1
v5 - porovnavanie pola sposob 2

ako vidis, porovnavanie pola oboma sposobmi je takmer identicke. addslashes je najrychlejsie a addcslashes je o nieco malinko rychlejsie ako porovnavanie pola.

moj zaver - whitelist je najbezpecnejsi, sice z tych troch sposobov najpomalsie (neratam tamtu tvoju funkciu). no pomalsi je iba o nepatrny cas, kedze meranie sa vykonalo pri 10 000 operaciach. ty ich budes mat 100...

takze chces ist na ukor bezpecnosti len aby si bol o 1-2 milisekundy rychlejsi?!

Vidíš, to ma celkom ukľudnilo, ja som si myslel, že desiatky je už dosť veľa.
Ale ty si to zrejme robil na localhoste, kde máš celý výkon len sám pre seba, nie?
Lebo som kdesi čítal, že PHP a polia sú práve neni, až taký kamaráti...

Ja to teda spravím tým whitelistom

EDIT:
Vlastne ešte ak dovolíte, čo si myslíte o tej funkcii čo som sem dal v predošlom príspevku z tej knihy. Ako to že neošetruje všetky tie znaky ako napr. mysql_real_escape_string().

doplnil som ti predosli post.. neviem, nidky som si nevsimol zeby nebol PHP kamarat s poliami, skor by som povedal naopak. no neviem ako je to v inych jazykoch (java, asp)

navys som raz cital nejaku myslienku o poliach v php, ze vyuziva uz neviem ake tabulky, a preto je to velmi rychle.

// pridané po 1 minúte od posledného príspevku

este doplnam, ze to porovnavanie pola som robil tak, ze pole sa vytvorilo 10 000 krat, teda pri kazdom opakovani. to tiez mohlo operaciu spomalit, tebe sa bude inicializovat iba raz

emer:
Moc ti ďakujem za námahu.

A k tomu snáď pojde použiť priamo porovnanie kľučov array_diff_key()