Как защитить форму на сайте?

@skapunker · Регистрация: 13.12.2013

Студворк — интернет-сервис помощи студентам

Всем привет! Есть такая форма

HTML5
1
2
3
4
5
  <form action = "login.php" method = "post">
   <div class ="flex_r"><span></span><input type = "text" name = "login" placeholder="логин"></div>
   <div class ="flex_r"><span></span><input type = "password" name = "password" placeholder="пароль"></div>
   <input type = "submit" value = "Войти" name = "log_in">
   </form >

Она уходит на обработку PHP. Форма ничего не записыват, просто проверяет совпадение введенных данных с данными из БД.

Вопросы:

1. Как самым простым методом защитить форму от брутфорса?
2. И есть ли в этом смысл?
3. Есть ли сымсл "обезвреживать" данные (типа очищать их от слешей, html и т.п)?

@Zvo · 23.08.2022, 13:19

Сообщение от skapunker

1. Как самым простым методом защитить форму от брутфорса?
2. И есть ли в этом смысл?

Капча. Можно от гугла.

Сообщение от skapunker

3. Есть ли сымсл "обезвреживать" данные

Есть. Лучше проверять и на фронте (с помощью js) и так же на бэкенде.

@Jewbacabra · 23.08.2022, 13:33

Сообщение от skapunker

Есть ли сымсл "обезвреживать" данные (типа очищать их от слешей, html и т.п)?

А в чем опасность слешей, html и т.п? Если бы данный форум "обезвреживал" вопрос задать было бы крайне затруднительно. Данные нужно правильно подставлять. А что конкретно значит правильно уже зависит от того, куда данные подставляются. Поэтому "обезвреживать" нужно непосредственно перед подстановкой.

Есть еще такое понятие как валидация, которое часто смешивают с подготовкой данных перед подстановкой. Валидация имеет смысл, чтобы не продолжать работу с некорректными данными. При этом налиие валидации не должно отменять подготовку перед подстановкой.

@skapunker · 23.08.2022, 13:34 **[ТС]**

Сообщение от Jewbacabra

А в чем опасность слешей, html и т.п?

это я вычитал в книге робина никсона

@Jewbacabra · 23.08.2022, 13:37

Сообщение от skapunker

это я вычитал в книге робина никсона

Ну и чем же опасны слеши по мнению Робина Никсона?

//////////// \\\\\\\\\\\\\\\\\\

Вот много слешей, и вроде ничего не произошло.

@skapunker · 23.08.2022, 13:42 **[ТС]**

Сообщение от Jewbacabra

Ну и чем же опасны слеши по мнению Робина Никсона.

Цитирую

Если эту обработку не провести, пользователи могут предпринять попытку внедрить данный код javascript, мешающий работе ваших сайтов, или даже добавить команды ЬнЫЙД, подвергающий угрозы содержимое в вашей базе данных

@gogolik · 23.08.2022, 13:44

Не по теме:

Сообщение от Jewbacabra

и вроде ничего не произошло

Я чай пролил(

@Jewbacabra · 23.08.2022, 14:07

Сообщение от skapunker

эту обработку

Какую обработку?

Сообщение от skapunker

ЬнЫЙД

MySQL?

В общем нужно больше контекста, но судя по тому, что в одном предложении упоминается внедрение как js, так и sql, автор данной дает вредный совет.

Повторю еще раз:

Нет никаких опасных символов. Но подстановка сырых неподготовленных данных может привести к нежелательным последствиям. Подготовка данных сильно зависит от того, куда конкретно эти данные будут подставляться - в html документе будут одни правила, в sql запросе другие, в json третьи. И поэтому данные должны подготавливаться непосредственно перед подстановой, в тот момнет когда тосно известны правила подготовки. Сразу при получении данных из формы этого делать не надо, да и не получиться, так как не известно как эти данные будут использованы вдальнейшем.

Что, как правило, можно сделать сразу при получении этих данных, так это провести валидацию, так как обычно известно что эти данные из себя представляют, и обрабатывать заранее некорректные данные не имеет смысла.

Но подставлятя неподготовленные провалидированные данные все еще нельзя.

Частые случаи подстановки данных:

1) sql запросы. Для подстановки данных использовать prepared statements. Для имен таблиц, столбцов и т.д - белые списки.

2) html. htmlentities, с 2 и 3 параметрами ENT_QUOTES | ENT_SUBSTITUTE | ENT_HTML401 (или как минимум ENT_QUOTES, который обязателен) и UTF-8
Но с подстановкой в html аттрибуты нужно быть очень внимательно, например, в аттрибут href можно вставить js код, и чтоб этого избежать нужно проверять что подставляемая строка начинается на http.

3) в js код. json_encode

@KSergey9 · 24.08.2022, 11:58

Сообщение от skapunker

3. Есть ли сымсл "обезвреживать" данные (типа очищать их от слешей, html и т.п)?

На это вопрос нельзя ответить однозначно в вашем случае, т.к. вы не приводите код чтения данных из БД и собственно проверки.

А также отображения результата.

Приведите этот код - будет о чем говорить.

Добавлено через 3 минуты
Например, если вы где-то в БД сохраняете напрямую login, указанный пользователем, а потом на странице где-то прямо его выводите

PHP
1
echo $login;

то при достаточной длине этого поля туда можно запросто подсунуть загрузку зловредного JS-кода и у всех, кто зайдет на ваш сайт, заразятся компы.

Про SQL-иньекции я уж и не говорю, это вообще песня.

Так что не те слеши вам рисуют.

Новые блоги и статьи Все статьи Все блоги /
AkelPad-скрипты, структуры, и немного лирики.. testuser2 05.04.2026 Такая программа, как AkelPad существует уже давно, и также давно существуют скрипты под нее. Тем не менее, прога живет, периодически что-то не спеша дополняется, улучшается. Что меня в первую очередь. . .	Отображение реквизитов в документе по условию и контроль их заполнения Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеСпецтехники", разработанного в конфигурации КА2. Данный документ берёт данные из другого нетипового документа. . .	Фото всей Земли с борта корабля Orion миссии Artemis II kumehtar 04.04.2026 Это первое подобное фото сделанное человеком за 50 лет. Снимок называют новым вариантом легендарной фотографии «The Blue Marble» 1972 года, сделанной с борта корабля «Аполлон-17». Новое фото. . .	Вывод диалогового окна перед закрытием, если документ не проведён Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать программный контроль на предмет проведения документа. . .
Программный контроль заполнения реквизитов табличной части документа Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: 1. Реализовать контроль заполнения реквизита. . .	wmic не является внутренней или внешней командой Maks 02.04.2026 Решение: DISM / Online / Add-Capability / CapabilityName:WMIC~~~~ Отсюда: https:/ / winitpro. ru/ index. php/ 2025/ 02/ 14/ komanda-wmic-ne-naydena/	Программная установка даты и запрет ее изменения Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: при создании документов установить период списания автоматически. . .	Вывод данных в справочнике через динамический список Maks 01.04.2026 Реализация из решения ниже выполнена на примере нетипового справочника "Спецтехника" разработанного в конфигурации КА2. Задача: вывести данные из ТЧ нетипового документа. . .