Обработка данных с формы

@Инженер_3 · Регистрация: 10.06.2016

Студворк — интернет-сервис помощи студентам

В некоторых учебниках рекомендуется обрабатывать данные с формы, так как в этих данных может быть опасный код. Но ведь данные записываются в базу данных или файл и нигде не используются (за исключением периодического просмотра самого файла с данными).
Зачем тогда данные обрабатывать?

@estic · 29.03.2022, 10:27

Данные чаще всего просматриваются на Web-страницах, на которых может работать JS-код, ссылки на сторонние вспомогательные ресурсы наподобие изображений могут приводить к сбору данных пользователей. Смотрите XSS.

Кроме того, вставлять в базу данных тоже нужно уметь.

@tarasalk · 29.03.2022, 10:46

Сообщение от Инженер_3

Но ведь данные записываются в базу данных

А представьте что в данных находится sql код. Вы его выполняете, а он вам дропнет БД или выдаст пользователю админские права. Это называется sql инъекция.
Подобных уязвимостей много. Запомните - никогда нельзя доверять данных от пользователя. Проверки на стороне фронта могут быть для удобства пользования, но на бекенде в любом случае нужно проверять и перепроверять.

@Инженер_3 · 29.03.2022, 14:41 **[ТС]**

Получается, при проверке нужно:
1. удалять все тэги (начинается с < и заканчивается >, а если беспарный, то экранировать)
2. удалять слова script и iframe,
3. экранировать апострофы и кавычки

Но можно и на стадии ввода информации запретить ввод символов < и >

Я на правильном пути?

@tarasalk · 29.03.2022, 14:49

Нет. Правильный путь - почитать гайды по безопасности.
Как вариант можно использовать фреймворки аля ларавел, там многое из коробки идет.

@Инженер_3 · 29.03.2022, 17:35 **[ТС]**

Сообщение от tarasalk

Нет. Правильный путь - почитать гайды по безопасности.
Как вариант можно использовать фреймворки аля ларавел, там многое из коробки идет.

1. Не знаю, что такое гайды, но информацию по безопасности я изучал. Так как раз и говорилось об очистке данных от скриптового кода.
2. Что такое "фреймворки аля ларавел" и из какой "коробки идёт" и что?

@tarasalk · 29.03.2022, 18:01

Сообщение от Инженер_3

Так как раз и говорилось об очистке данных от скриптового кода.

Если бы киберфорум так делал, мы бы тут код не могли выкладывать.

Лучше через htmlspecialchars пропустить.

@Инженер_3 · 29.03.2022, 20:51 **[ТС]**

Сообщение от tarasalk

Если бы киберфорум так делал, мы бы тут код не могли выкладывать.
Лучше через htmlspecialchars пропустить.

Как я понимаю, здесь угловые скобки экранируют.
Как пример:

JavaScript
1
<script>alert(1);</script>

@tarasalk · 29.03.2022, 20:56

Сообщение от Инженер_3

Как я понимаю, здесь угловые скобки экранируют.

Зачем? Вот же я функцию показал - htmlspecialchars

@Инженер_3 · 29.03.2022, 21:44 **[ТС]**

Например, здесь записывают <script> как

HTML5
1
2
3
<span class="sy0">&lt;</span>
script
<span class="sy0">&gt;</span>

Добавлено через 18 минут

Сообщение от tarasalk

Зачем? Вот же я функцию показал - htmlspecialchars

Нашёл описание этой функции:
htmlspecialchars — Преобразует специальные символы в HTML-сущности

В HTML некоторые символы имеют особый смысл и должны быть представлены в виде HTML сущностей, чтобы сохранить их значение. Эта функция возвращает строку, над которой проведены эти преобразования. Если вам нужно преобразовать все возможные сущности, используйте htmlentities().

А htmlentities() преобразует все возможные сущности или специальные символы в эти сущности?

Мутноватое описание, видимо, автоматический перевод. Без знаний английского, конечно, трудно.

Короче, как я понимаю, защита - это преобразование спец символов, например < в < и так далее ?

@websyst_ru · 31.03.2022, 12:59

Сообщение от Инженер_3

Короче, как я понимаю, защита - это преобразование спец символов, например < в < и так далее ?

Нет, не так.

ибо по этой логике от

SQL
1
DROP TABLE

защититься будет нельзя.
читает SQL-инъекции

Новые блоги и статьи Все статьи Все блоги /
Архитектура слоя интернета для сервера-слоя. Hrethgir 11.04.2026 В продолжение https:/ / www. cyberforum. ru/ blogs/ 223907/ 10860. html Знаешь что я подумал? Раз мы все источники пишем в голове ветки, то ничего не мешает добавить в голову такой источник, который сам. . .	Подстановка значения реквизита справочника в табличную часть документа Maks 10.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: при выборе сотрудника (справочник Сотрудники) в ТЧ документа. . .	Очистка реквизитов документа при копировании Maks 09.04.2026 Алгоритм из решения ниже применим как для типовых, так и для нетиповых документов на самых различных конфигурациях. Задача: при копировании документа очищать определенные реквизиты и табличную. . .	модель ЗдравоСохранения 8. Подготовка к разному выполнению заданий anaschu 08.04.2026 https:/ / github. com/ shumilovas/ med2. git main ветка * содержимое блока дэлэй из старой модели теперь внутри зайца новой модели 8ATzM_2aurI
Блокировка документа от изменений, если он открыт у другого пользователя Maks 08.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в конфигурации КА2. Задача: запретить редактирование документа, если он открыт у другого пользователя. / / . . .	Система безопасности+живучести для сервера-слоя интернета (сети). Двойная привязка. Hrethgir 08.04.2026 Далее были размышления о системе безопасности. Сообщения с наклонным текстом - мои. А как нам будет можно проверить, что ссылка наша, а не подделана хулиганами, которая выбросит на другую ветку и. . .	Модель ЗдрввоСохранения 7: больше работников, больше ресурсов. anaschu 08.04.2026 работников и заданий может быть сколько угодно, но настроено всё так, что используется пока что только 20% kYBz3eJf3jQ	Дальние перспективы сервера - слоя сети с космологическим дизайном интефейса карты и логики. Hrethgir 07.04.2026 Дальнейшее ближайшее планирование вывело к размышлениям над дальними перспективами. И вот тут может быть даже будут нужны оценки специалистов, так как в дальних перспективах всё может очень сильно. . .

@Инженер_3 3 / 3 / 0 Регистрация: 10.06.2016 Сообщений: 420

	Обработка данных с формы 29.03.2022, 10:07. Показов 582. Ответов 10 Метки нет (Все метки) В некоторых учебниках рекомендуется обрабатывать данные с формы, так как в этих данных может быть опасный код. Но ведь данные записываются в базу данных или файл и нигде не используются (за исключением периодического просмотра самого файла с данными). Зачем тогда данные обрабатывать? 0

@estic 1315 / 1007 / 232 Регистрация: 01.10.2018 Сообщений: 3,910
	29.03.2022, 10:27
	Данные чаще всего просматриваются на Web-страницах, на которых может работать JS-код, ссылки на сторонние вспомогательные ресурсы наподобие изображений могут приводить к сбору данных пользователей. Смотрите XSS. Кроме того, вставлять в базу данных тоже нужно уметь. 1

@Инженер_3 3 / 3 / 0 Регистрация: 10.06.2016 Сообщений: 420
	29.03.2022, 14:41 [ТС]
	Получается, при проверке нужно: 1. удалять все тэги (начинается с < и заканчивается >, а если беспарный, то экранировать) 2. удалять слова script и iframe, 3. экранировать апострофы и кавычки Но можно и на стадии ввода информации запретить ввод символов < и > Я на правильном пути? 0

@tarasalk 1992 / 1216 / 440 Регистрация: 13.06.2013 Сообщений: 4,115
	29.03.2022, 14:49
	Нет. Правильный путь - почитать гайды по безопасности. Как вариант можно использовать фреймворки аля ларавел, там многое из коробки идет. 0