Модераторы: skyboy, MoLeX, Aliance, ksnk
  

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> Подскажите по безопасности этого кода 
V
    Опции темы
talker
Дата 12.8.2009, 08:24 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Шустрый
*


Профиль
Группа: Участник
Сообщений: 76
Регистрация: 5.5.2008

Репутация: нет
Всего: нет
Задача тривиальная -  есть текст, ключевая фраза (строка, вводится через форму), нужно в тексте регистронезависимо выделить вхождение ключевой фразы какими-нибудь тэгами (например, <b></b>). Собственно, задачу я решил, но не уверен что такое решение является безопасным. Подскажите, при таком коде можно передать в скрипт такую строку, которая вызовет сбой preg_replace или даже откроет дверь для хакера? Может быть можно решить эту задачу проще?
Код

$key = $_POST['key']; // $key = "rosa";
$text = "bla-bla-bla Rosa bla-bla-bla";
echo preg_replace("#(".preg_replace("#(\W)#", "\\\\1", $key).")#i", "<b>\\1</b>", $text);


P.S. Функция str_ireplace не подходит, потому что её нет в php4
PM MAIL   Вверх
Ипатьев
Дата 12.8.2009, 08:40 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Завсегдатай
Сообщений: 2232
Регистрация: 5.7.2009

Репутация: 28
Всего: 37
Лично я не слышал о "сбоях в preg_replace" и "дверях для хакера".  Обычно эти двери бывают сильно проще.
preg_quote() стоит использовать в любом случае.
Правда, я не очень понял смысл вложенного реплейса. 
PM MAIL   Вверх
talker
Дата 12.8.2009, 08:46 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Шустрый
*


Профиль
Группа: Участник
Сообщений: 76
Регистрация: 5.5.2008

Репутация: нет
Всего: нет
Цитата(Ипатьев @  12.8.2009,  08:40 Найти цитируемый пост)
Правда, я не очень понял смысл вложенного реплейса. 

Если скрипту передана строка ($key), содержащая символы #?.*+ и т.д. (которые в принципе могут быть в тексте), то preg_replace в лучшем случае будет ругаться на некорректную регулярку. Собственно от этого и защищаюсь.
PM MAIL   Вверх
Pfailed
Дата 12.8.2009, 08:54 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 933
Регистрация: 19.7.2009

Репутация: 5
Всего: 39
Конструкция preg_replace("#(\W)#", "\\\\1", $key) у вас вообще не пойми что делает.
Затем, используйте $1 вместо \1 это правильнее и удобнее. И как уже сказали пришедший $key пропустите через preg_quote()  или еще лучше поместить в регулярном выражении $key между \Q\E. Итого ваш код будет выглядеть так:
Код

$key = $_POST['key'];
$text = "bla-bla-bla Rosa bla-bla-bla";
echo preg_replace("#(\Q$key\E)#i", "<b>$1</b>", $text);


Это сообщение отредактировал(а) Pfailed - 12.8.2009, 09:03


--------------------
I'm on CPAN
I'm on github
PM MAIL   Вверх
talker
Дата 12.8.2009, 09:10 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Шустрый
*


Профиль
Группа: Участник
Сообщений: 76
Регистрация: 5.5.2008

Репутация: нет
Всего: нет
Цитата(Pfailed @  12.8.2009,  08:54 Найти цитируемый пост)
Конструкция preg_replace("#(\W)#", "\\\\1", $key) у вас вообще не пойми что делает.

Добавляет к каждому неалфавитно-цифровому символу \, чтобы для регулярки он не стал спецсимволом (если это *+? и т.п.).

Цитата(Pfailed @  12.8.2009,  08:54 Найти цитируемый пост)
или еще лучше поместить в регулярном выражении $key между \Q\E. Итого ваш код будет выглядеть так:

Красиво. Спасибо
PM MAIL   Вверх
Pfailed
Дата 12.8.2009, 09:11 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 933
Регистрация: 19.7.2009

Репутация: 5
Всего: 39
Оказывается \Q\E в php работает чуть менее чем на половину, т.е. не эскейпит делимитр, нужно сказать что в perl это работает. Так что всеже лучше воспользоваться preg_quote() указав второй параметр.

Цитата

Добавляет к каждому неалфавитно-цифровому символу \, чтобы для регулярки он не стал спецсимволом (если это *+? и т.п.).


Код

echo preg_replace("#(\W)#", "\\\\1", "Hello world!!!");
//Hello\1world\1\1\1


Не работает

Это сообщение отредактировал(а) Pfailed - 12.8.2009, 09:15


--------------------
I'm on CPAN
I'm on github
PM MAIL   Вверх
talker
Дата 12.8.2009, 11:09 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Шустрый
*


Профиль
Группа: Участник
Сообщений: 76
Регистрация: 5.5.2008

Репутация: нет
Всего: нет
Цитата(Pfailed @  12.8.2009,  09:11 Найти цитируемый пост)
Так что всеже лучше воспользоваться preg_quote() указав второй параметр.

Да, так получилось проще и надежнее smile
PM MAIL   Вверх
  
 Ответ в темуСоздание новой темы Создание опроса
Правила форума "PHP"
Aliance
IZ@TOP
skyboy
SamDark
MoLeX

Новичкам:

  • PHP редакторы собираются и обсуждаются здесь
  • Электронные книги по PHP, документацию можно найти здесь
  • Интерпретатор PHP, полную документацию можно скачать на PHP.NET

Важно:

  • Не брезгуйте пользоваться тегами [code=php]КОД[/code] для повышения читабельности текста/кода.
  • Перед созданием новой темы воспользуйтесь поиском и загляните в FAQ
  • Действия модераторов можно обсудить здесь

Внимание:

  • Темы "ищу скрипт", "подскажите скрипт" и т.п. будут переноситься в форум "Web-технологии"
  • Темы с именами: "Срочно", "помогите", "не знаю как делать" будут УДАЛЯТЬСЯ

Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, IZ@TOP, skyboy, SamDark, MoLeX, awers.
 
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | PHP: Общие вопросы | Следующая тема »

Подписаться на тему | Подписка на этот форум | Скачать/Распечатать тему


 




[ Время генерации скрипта: 0.0875 ]   [ Использовано запросов: 22 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
 По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.