php проверка на html теги
Фильтрация и проверка данных PHP. Частые ошибки
Материал предназначен в основном для начинающих веб-программистов.
Введение.
Часто ко мне обращаются клиенты, у которых установлены самописные CMS или модули, написанные начинающими веб-программистами, которые не понимают, что нужно для защиты данных и зачастую копируют функции фильтрации, не задумываясь о том как они работают и что именно нужно с ними делать.
Здесь я постараюсь описать как можно подробнее частые ошибки при фильтрации данных в PHP скрипте и дать простые советы как правильно выполнить фильтрацию данных.
В сети много статей по поводу фильтрации данных, но они как правильно не полные и без подробные примеров.
Разбор полетов.
Фильтрация. Ошибка №1
Для числовых переменных используется такая проверка:
Почему она приведет к SQL инъекции? Дело в том, что пользователь может указать в переменной input_number значение:
В таком случаи проверка будет успешно пройдена, т.к. функция intval получает целочисленное значение переменной, т.е. 1, но в самой переменной $number ничего не изменилось, поэтому весь вредоносный код будет передан в SQL запрос.
Правильная фильтрация:
Конечно, условие может меняться, например если вам нужно получить только определенный диапазон:
Если вы используете чекбоксы или мультиселекты с числовыми значениями, выполните такую проверку:
array_map
Так же встречаю фильтрацию в виде:
Ничего кроме улыбки это не может вызвать 🙂
Фильтрация. Ошибка №2.
Для стринг-переменных используется такая фильтрация:
Функция addslashes экранирует спец. символы, но она не учитывает кодировку БД и возможен обход фильтрации. Не стану копировать текст автора, который описал данную уязвимость и дам просто ссылку Chris Shiflett (перевод можно поискать в рунете).
Если вы не предполагаете вхождение html тегов, то лучше всего сделать такую фильтрацию:
strip_tags — убирает html теги.
htmlspecialchars — преобразует спец. символы в html сущности.
Так вы защитите себя от XSS атаки, помимо SQL инъекции.
Если же вам нужны html теги, но только как для вывода исходного кода, то достаточно использовать:
Если вам важно, чтобы значение переменной не было пустой, то используйте функцию trim, пример:
Фильтрация. Ошибка №3.
Она касается поиска в БД.
Для поиска по числам используйте фильтрацию, описанную в первой ошибке.
Для поиска по тексту используйте фильтрацию, описанную во второй ошибке, но с оговорками.
Для того, чтобы пользователь не смог выполнить логическую ошибку, нужно удалять или экранировать спец. символы SQL.
Пример без доп. обработки строки:
На выходе у нас получится запрос вида:
Это значительно увеличит нагрузку на базу.
В своём скрипте я использую функцию, которая удаляет нежелательные мне символы из поиска:
Конечно, не все из выше перечисленных символов представляют опасность, но в моём случаи они не нужны, поэтому выполняю поиск и замену.
Пример использования фильтрации:
Также советую сделать ограничение по количеству символов в поиске, хотя бы не меньше 3-х, т.к. если у вас будет большое количество записей в базе, то поиск по 1-2 символам будет значительно увеличивать нагрузку на БД.
Фильтрация. Ошибка №4.
Не фильтруются значения в переменной $_COOKIE. Некоторые думаю, что раз эту переменную нельзя передать через форму, то это гарантия безопасности.
Данную переменную очень легко подделать любым браузером, отредактировав куки сайта.
Например, в одной известной CMS была проверка, используемого шаблона сайта:
В данном случаи можно подменить значение переменной $_COOKIE[‘skin’] и вызвать ошибку, в результате которой вы увидите абсолютный путь до папки сайта.
Если вы используете значение куков для сохранения в базу, то используйте одну из выше описанных фильтраций, тоже касается и переменной $_SERVER.
Фильтрация. Ошибка №5.
В PHP скрипте переменная $group будет равна 5, если в скрипте она не была объявлена со значением по умолчанию.
Фильтрация. Ошибка №6.
Проверка. Ошибка №1.
Сталкивался со случаями, когда для AJAX запроса (например: повышение репутации) передавалось имя пользователя или его ID (кому повышается репутация), но в самом PHP не было проверки на существование такого пользователя.
Например:
Получается мы создаем запись в базе, которая совершенно бесполезна нам.
Проверка. Ошибка №2.
При выполнении различного рода действий (добавление, редактирование, удаление) с данными не забывайте проверять права пользователя на доступ к данной функции и дополнительные возможности (использование html тегов или возможность опубликовать материал без проверки).
Давно исправлял в одном модуле форума подобную ошибку, когда любой пользователь мог отредактировать сообщение администрации.
Проверка. Ошибка №3.
При использовании нескольких php файлов сделайте простую проверку.
В файле index.php (или в любом другом главном файле) напишите такую строчку перед подключением других php файлов:
В начале других php файлов напишите:
Так вы ограничите доступ к файлам.
Проверка. Ошибка №4.
Используйте хеши для пользователей. Это поможет предотвратить вызов той или иной функции путём XSS.
Пример составления хеша для пользователей:
Далее во все важные формы подставляйте инпут со значением текущего хеша пользователя:
Во время выполнения скрипта осуществляйте проверку:
Проверка. Ошибка №5.
При выводе SQL ошибок сделайте простое ограничение к доступу информации. Например задайте пароль для GET переменной:
Это позволит скрыть от хакера информацию, которая может ему помочь во взломе сайта.
Проверка. Ошибка №5.
Старайтесь не подключать файлы, получая имена файлов извне.
Например:
В таком случаи вы предотвратите подключение файлов, которые не были вами предусмотрены.
Совет.
Для большей надежности используйте один из готовых и популярных классов для фильтрации данных, дабы самому не пропустить какие-то вредоносные символы/данные. Также в этих классах часто имеется возможность выбора фильтра данных.
UPD: Поправил пост. Перенес все советы по поводу функций и переменных, которые были в комментариях.
strip_tags
(PHP 4, PHP 5, PHP 7, PHP 8)
strip_tags — Удаляет теги HTML и PHP из строки
Описание
Список параметров
Второй необязательный параметр может быть использован для указания тегов, которые не нужно удалять. Они указываются как строка ( string ) или как массив ( array ) с PHP 7.4.0. Смотрите пример ниже относительно формата этого параметра.
Возвращаемые значения
Возвращает строку без тегов.
Список изменений
| Версия | Описание |
|---|---|
| 8.0.0 | allowed_tags теперь допускает значение null. |
| 7.4.0 | allowed_tags теперь альтернативно принимает массив ( array ). |
Примеры
Пример #1 Пример использования strip_tags()
// Начиная с PHP 7.4.0, строка выше может быть записана как:
// echo strip_tags($text, [‘p’, ‘a’]);
?>
Результат выполнения данного примера:
Примечания
Эта функция не должна использоваться для предотвращения XSS-атак. Используйте более подходящие функции для этой задачи, такие как htmlspecialchars() или другие механизмы, в зависимости от контекста вывода.
Из-за того, что strip_tags() не проверяет валидность HTML, то частичные или сломанные теги могут послужить удалением большего количества текста или данных, чем ожидалось.
Смотрите также
User Contributed Notes 17 notes
Hi. I made a function that removes the HTML tags along with their contents:
Result for strip_tags($text):
sample text with tags
Result for strip_tags_content($text):
text with
Result for strip_tags_content($text, ‘‘):
sample text with
Result for strip_tags_content($text, ‘‘, TRUE);
text with
I hope that someone is useful 🙂
After upgrading from v7.3.3 to v7.3.7 it appears nested «php tags» inside a string are no longer being stripped correctly by strip_tags().
This is still working in v7.3.3, v7.2 & v7.1. I’ve added a simple test below.
A word of caution. strip_tags() can actually be used for input validation as long as you remove ANY tag. As soon as you accept a single tag (2nd parameter), you are opening up a security hole such as this:
Plus: regexing away attributes or code block is really not the right solution. For effective input validation when using strip_tags() with even a single tag accepted, http://htmlpurifier.org/ is the way to go.
Since strip_tags does not remove attributes and thus creates a potential XSS security hole, here is a small function I wrote to allow only specific tags with specific attributes and strip all other tags and attributes.
If you only allow formatting tags such as b, i, and p, and styling attributes such as class, id and style, this will strip all javascript including event triggers in formatting tags.
Note that allowing anchor tags or href attributes opens another potential security hole that this solution won’t protect against. You’ll need more comprehensive protection if you plan to allow links in your text.
a HTML code like this:
$str = ‘color is bluesize is huge
material is wood’;
$str = ‘color is blue size is huge material is wood’;
«5.3.4 strip_tags() no longer strips self-closing XHTML tags unless the self-closing XHTML tag is also given in allowable_tags.»
This is poorly worded.
The above seems to be saying that, since 5.3.4, if you don’t specify «
» in allowable_tags then «
» will not be stripped. but that’s not actually what they’re trying to say.
What it means is, in versions prior to 5.3.4, it «strips self-closing XHTML tags unless the self-closing XHTML tag is also given in allowable_tags», and that since 5.3.4 this is no longer the case.
So what reads as «no longer strips self-closing tags (unless the self-closing XHTML tag is also given in allowable_tags)» is actually saying «no longer (strips self-closing tags unless the self-closing XHTML tag is also given in allowable_tags)».
pre-5.3.4: strip_tags(‘Hello World
‘,’
‘) => ‘Hello World
‘ // strips
because it wasn’t explicitly specified in allowable_tags
5.3.4 and later: strip_tags(‘Hello World
‘ // does not strip
because PHP matches it with
in allowable_tags
Note the different outputs from different versions of the same tag:
Features:
* allowable tags (as in strip_tags),
* optional stripping attributes of the allowable tags,
* optional comment preserving,
* deleting broken and unclosed tags and comments,
* optional callback function call for every piece processed allowing for flexible replacements.
Caution: the function doesn’t fully validate tags (the more so HTML itself), it just force strips those obviously broken (in addition to stripping forbidden tags). If you want to get valid tags then use strip_attrs option, though it doesn’t guarantee tags are balanced or used in the appropriate context. For complex logic consider using DOM parser.
Here is a recursive function for strip_tags like the one showed in the stripslashes manual page.
get_meta_tags
(PHP 4, PHP 5, PHP 7, PHP 8)
get_meta_tags — Извлекает содержимое всех метатегов из файла и возвращает массив
Описание
Список параметров
Пример #1 Что обрабатывает функция get_meta_tags()
Возвращаемые значения
Возвращает ассоциативный массив со значениями разобранных метатегов.
Возвращает false в случае возникновения ошибки.
Примеры
Пример #2 Что возвращает функция get_meta_tags()
// Предположим, что указанные выше метатеги расположены на www.example.com
$tags = get_meta_tags ( ‘http://www.example.com/’ );
Примечания
Обрабатываются только метатеги с атрибутом name. Кавычки не требуются.
Смотрите также
User Contributed Notes 19 notes
This regex gets meta tags independent of sequence by capturing inside a lookahead.
Further uses the branch reset feature for different quote styles of values.
The pattern can be tested here: https://regex101.com/r/oE4oU9/1
If the URL is doing a redirection using the headers (like you would do with PHP function header(«Location: URL»);), the page has no content (in general). It appears get_meta_tags() doesn’t catch that kind of redirection (like cURL would do) and it lead me to a timeout of my script.
I experienced this in a spider I wrote in order to feed my database of all available pages on my site and one link was linking to a page that simply has the following code:
( «Location: sections.php?section=home» );
exit();
?>
That made my script hang for a moment and apparently, get_meta_tags() wasn’t even able to return me an error.
If you want to get the contents of tags other than meta you can use:
I personally experienced less issues using the DOM functions than regular expressions while trying to fetch meta tags and not using get_meta_tags function (in order to get http-equiv meta tags too).
This is a slight amendment to jimmyxx at gmail dot com function
I tried using the regex displayed in his code, and php threw up a couple of errors
Based on Michael Knapp’s code, and adding some regex, here’s a function that will get all meta tags and the title based on a URL. If there’s an error, it will return false. Using the function getUrlContents(), also included, it takes care of META REFRESH re-directions, following up to the specified number of redirections. Please note that the regular expressions included were split into strings because php.net was complaining about the line being to long 😉
// Check if we need to go somewhere else
?>
For the above code the output would be:
// Check if we need to go somewhere else
Array
(
[ title ] => The requested page ‘s title
[metaTags] => Array
(
[description] => Array
(
[html] =>
[value] => Something.
)
)
[metaProperties] => Array
(
[og:type] => Array
(
[html] => />
[value] => article
)
)
)
?>
Workaround: if possible move code after header or if not: include a file.
in response to
jp at webgraphe dot com
this function grabs meta tags, not http headers
if you need the headers
Tim’s code is good (thanks Tim), except it won’t work very well if the tag is part of a long non-breaking string.
E.g. try getting the title from Google Maps (http://www.google.com/maps).
A better solution is:
Also, it is probably best to use the /i modifier, because some people might code etc.
/*
** Extracts and formats meta tag content
*/
keywords (13 words | 119 chars)
SELFHTML, HTML, Dynamic HTML, JavaScript, CGI, Perl, Grafik, WWW-Seiten, Web-Seiten, Hilfe, Dokumentation, Beschreibung
Проверка тегов на закрытие
Помощь в написании контрольных, курсовых и дипломных работ здесь.
Проверка на правильность мест закрытия тегов
Есть textarea в которую можно вводить только определенные html теги. Есть проверка на разрешенные.
Проверка тегов html на закрытие
Добрый вечер. В общем, такое вот задание, нужно проверить, все ли теги закрываются, то есть.
Проверка тегов XML на наличие дочерних тегов
Доброго времени суток. Вот часть файлика которого мне нужно считать. 11
Значит пост из серии сделайте за меня?
Решение
LASSO, спасибо за помощь!
Добавлено через 8 минут
LASSO, а если наоборот есть закрывающий, а нет открывающего?
P.S. Здесь проверяет только на наличие закрывающего.
Помощь в написании контрольных, курсовых и дипломных работ здесь.
Как в DHTMLEdit отключить автоматическое закрытие незакрытых тегов?
Этот «умный» редактор сам добавляет недостающие закрывающие тэги. Каким свойством можно это.
проверка корректности тегов
такая вот штука приключилась. пытаюсь проверить свой сайт на корректность кейвордов, тегов и пр. на.
Проверка закрытия тегов
Добрый день, уважаемые форумчане. Столкнулся с проблемой: когда контент-менеджер пишет статьи.
Проверка закрывания тегов с использованием стека
Уважаемые программисты. Помогите пожалуйста с программой, у девушки экзамен, а ее не допустят.
Как заставить php видеть html теги?
Здравствуйте, движок phpbb3 делаю ббкод (системный) в пользовательском к сожалению нету возможности подключить include
пример использование bbcode
Вы, наверное, заметили, что php-строка обозначается то одинарными, то двойными кавычками. Дело в том, что всё, что находится в одинарных кавычках, интерпретируется просто как последовательность символов, как текст.
Если же php-строка обозначается двойными кавычками, то вместо переменных будут выводиться значения этих переменных. Поэтому если в строке есть переменные, то в качестве внешних кавычек лучше применять двойные кавычки.
Что нужно поправить в вашем коде думаю вы уже догадались
попробовал, страница падает, текст ошибки
Parse error: syntax error, unexpected ’12.’ (T_DNUMBER), expecting ‘)’
‘mok’ => file_get_contents ($2.’.txt’);
Андрей Юмашев, Здравствуйте, Андрей. Спасибо. Но не помогло.
Вот пример + тот вариант что я скидывал. при котором работает вывод на файл, а с переменной не хочет.
Вначале всегда у всех стоят скобки ‘содержание’ но я уже и со скобками попробовал, на вашем примере, и без и ничего не вышло к сожалению.
Уже и не знаю что делать
Андрей Юмашев, если полностью все кавычки изменить на двойные
fOstere, в вашем коде выше ошибка. Должно быть так.
‘mok’ => file_get_contents ($2.».txt»),