РНР Безопасность. Хэширование

@mhibert · Регистрация: 28.12.2017

Студворк — интернет-сервис помощи студентам

Всем Привет!

Я работаю на данный момент над курсовой по теме "Генератор Хэш функций". Столкнулся с такой проблемой, что после санитизации и проверки хтмл форм, сообщение введенное пользователем видоизменяется и база данных заполняется некорректными хэшами.

Например:

алгоритм = мд5
сообщение = m (введенное пользователем сообщение)
хэш = h (хэш функция)

PHP
1
m = [B]<script>alert('example');</sctipt>[/B] - > видоизменяет в (после санитизации и проверки введенного текста ) -> [B]&lt;script&gt;alert('test');&lt;/script&lt[/B];

h(m) != 'h(m)

Как вы можете видить, две абсолютно разных хэши.

Вопрос: какие методы вы могли бы подсказать, чтобы сохранить безопасности против разного рода инъекции. А также правильно заполнить базуданных???

Большое спасибо и надеюсь получить ответ в скором времени!
Майк Хайберт

@otto-fukin · 28.12.2017, 07:46

Сообщение от mhibert

после санитизации

для создания хэша "санитизация" не нужна. функция хэширования сама является прекрасным "санитизатором"(если я правильно понял значение этого слова)
ps: если хэширование используется для проверки паролей, вместо md5 я бы рекомендовал использовать пару функций password_hash и password_verify специально для этого созданых

@mhibert · 28.12.2017, 08:34 **[ТС]**

Нет, Санитизация происходит, тогда когда пользователь отправляет данные на сервер через html форму, чтобы избежать различного рода инъекций. Результат проходит через хэш функции и далее отправляется в базу данных, где записывается ввиде слово/текст md5/хэш.

Проблема, в том что сообщение меняется после санитизации и хэш соотвественно.

@otto-fukin · 28.12.2017, 08:40

Сообщение от mhibert

избежать различного рода инъекций. Результат проходит через хэш функции

хэш в любом случае не будет содержать инъекций. С санитизацией или без неё, инъекций не будет. Но если она вам так важна, тогда перед сравнением хэшей, проводите такую же процедуру санитизации для проверяемой строки.

@mhibert · 28.12.2017, 08:49 **[ТС]**

Если оставить санитизацию, хэш измениться и будет не логично оставлять другой хэш. Если убрать санитизацию, тогда все будет в порядке с заполнением базы данных и хэши будут соотвествовать словам. Однако, без санитизации полностью пропадает безопасность приложения так как атаки станут доступны, например XSS.

Если я ошибаюсь, плз поправте меня и предложите другие варианты решение этой проблемы.

@little endian · 29.12.2017, 04:25

Сообщение от mhibert

Если оставить санитизацию, хэш измениться и будет не логично оставлять другой хэш. Если убрать санитизацию, тогда все будет в порядке с заполнением базы данных и хэши будут соотвествовать словам. Однако, без санитизации полностью пропадает безопасность приложения так как атаки станут доступны, например XSS.
Если я ошибаюсь, плз поправте меня и предложите другие варианты решение этой проблемы.

XSS прекрасно тушится заменой html-символов:

PHP
1
array('&','<','>',"'",'"','_','`','$','%','\\','/*','*/','//','--'); //'

на:

PHP
1
array('&amp;','&lt;','&gt;','&#039 ;(пробел убрать)','&quot;','_','`','$','%','\','/*','*/','//','&dash;&dash;');

инъекции частично тушатся ими же + (int) для цифр, но ещё обязательно отдельно сначала компилировать сам запрос, а только потом в него подставлять переменные, как тут: http://php.net/manual/ru/funct... params.php

а хеширование вообще выкиньте

Новые блоги и статьи Все статьи Все блоги /
Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Учёным и волонтёрам проекта «Einstein@home» удалось обнаружить четыре гамма-лучевых пульсара в джете Млечного Пути Programma_Boinc 01.01.2026 Учёным и волонтёрам проекта «Einstein@home» удалось обнаружить четыре гамма-лучевых пульсара в джете Млечного Пути Сочетание глобально распределённой вычислительной мощности и инновационных. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .

@mhibert 0 / 0 / 0 Регистрация: 28.12.2017 Сообщений: 4
	28.12.2017, 08:34 [ТС]
	Нет, Санитизация происходит, тогда когда пользователь отправляет данные на сервер через html форму, чтобы избежать различного рода инъекций. Результат проходит через хэш функции и далее отправляется в базу данных, где записывается ввиде слово/текст md5/хэш. Проблема, в том что сообщение меняется после санитизации и хэш соотвественно. 0

@mhibert 0 / 0 / 0 Регистрация: 28.12.2017 Сообщений: 4
	28.12.2017, 08:49 [ТС]
	Если оставить санитизацию, хэш измениться и будет не логично оставлять другой хэш. Если убрать санитизацию, тогда все будет в порядке с заполнением базы данных и хэши будут соотвествовать словам. Однако, без санитизации полностью пропадает безопасность приложения так как атаки станут доступны, например XSS. Если я ошибаюсь, плз поправте меня и предложите другие варианты решение этой проблемы. 0

РНР Безопасность. Хэширование

Решение