Jak psát kód: Data před použitím ošetřete
Školení, která pořádám 
Jde o jednoduché pravidlo, které zabrání většině nejběžnějších bezpečnostních problémů: Respektujte kontext, ve kterém používáte data a ošetřete znaky, které mají v daném kontextu speciální význam.
Problém s tímto pravidlem je, že se na něj dá snadno zapomenout. Je mnohem jednodušší napsat echo $_GET["message"] než echo htmlspecialchars($_GET["message"]) nebo $pdo->query("… LIMIT $_GET[limit]") než:
<?php $stmt = $pdo->prepare("… LIMIT :limit"); $stmt->bindValue('limit', $_GET["limit"], PDO::PARAM_INT); $stmt->execute(); ?>
Správné řešení je použít abstrakci, která vám nedovolí udělat chybu. Např. v Nette Latte to znamená zakázat vkládání PHP kódu značkou <?php ?> a neošetřeného HTML značkou {!$}. U databázové abstrakce to může znamenat kontrolu toho, že se na místě dotazu používá výhradně konstantní řetězec pomocí statické analýzy.
Je důležité si uvědomit, že správné ošetřování dat neřeší jen bezpečností problémy, ale i problémy s použitelností. Narazíte na ně v situaci, kdy někdo vaší aplikaci pošle název McDonald's nebo <1337>. Důležité je proto toto pravidlo nepodcenit ani v situacích, kdy na bezpečnosti zdánlivě nezáleží, třeba v Intranetové aplikaci (i když tam na bezpečnosti záleží přesně stejně jako u veřejné aplikace).
Přijďte si o tomto tématu popovídat na školení Bezpečnost PHP aplikací.
Diskuse
Michal Raška:
Jakube, jak vyřešit případ, kdy potřebuji vložit HTML kod do šablony pokud nepoužiji {!$..}? Jde například o uživatelské formátovaní, které není předem známé.tbx:
Muzes pouzit http://texy.info/ nebo nejaky vlastni parser (treba [b] namisto <b>, ...)Lamicz:
Používám HTML Purifier
Jakub Vrána 
:
Pokud mám nějaká prokazatelně bezpečná HTML data (např. výstup Texy), můžu je tak označit už při předávání dat do šablony. V Nette k tomu slouží Html::el(). V šabloně pak můžu použít normální {$}.
Jakub Vrána : Michal:
Koukám, že tady to šlo hodně dolů - poslední dobou tu píšeš naprosto banální rady, asi jen proto, aby bylo kam vrazit reklamu na nějaká školení. Škoda, psal jsi líp. Jakub Vrána :
Dopředu jsem avizoval, že proberu několik jednodušších témat: http://php.vrana.cz/jak-psat-kod-nepouzivejte-copy-paste.php. Bohužel to jsou věci, které teď zrovna řeším. Navíc některé věci zase tak triviální nejsou – např. s http://php.vrana.cz/jak-psat-kod-udelejte-praci-najednou.php se potýká spousta aplikací a vyřešit to systematicky správně vyžaduje spoustu fištrónu.
Jakub Vrána : Filip Procházka:
Myslím, že je dobře, že se tyhle články píší a že to píše autorita. Nejsou to samozřejmosti pro každého a hlavně si nemyslím, že Jakub by měl někomu obhajovat že napsal článek ;)
Diskuse je zrušena z důvodu spamu.
© 2005-2024 