função anti-php injection, vejam oque é possível melhorar...

[tubadc 0]

Achei uma função na web não lembro onde e dei uma atualizada nas tags e tal... gostaria da ajuda de vocês para dar uma incrementada nela no sentido de tornar o mais seguro possível a inclusão de urls

 

<?php

function ant_phpinject($pagina){

  //Verifica se a string passada possui algum trecho invalido
  //Caso tenha mostra uma mensagem de erro
  if(eregi("http|www|ftp|.dat|.txt|.gif|wget|from|select|update|insert|delete|where|dro
 table|show ables|#|\*|--|\\\\", $pagina))
  {
	echo "Página Inválida! Estamos redirecionando você para página inicial.";
echo "<meta http-equiv=\"refresh\" content=\"2; URL=index.php\">";
  }else{
	if(!empty($pagina)) {
	  @include ("$pagina.php");
	}else{
	  @include ("index.php"); //essa seria a sua página principal
	}
  }
  }
?>

Gostaria de por exemplo fazer alguma verificação da existência do arquivo e tal... enfim... sugestões.....:)

 

Vlw

[Beraldo 864]

Voc6e pode usar file_exists() para ter certeza de que a página existe. Se não existir, redirecione para a index, ou para uma página de erro.

[tubadc 0]

legal!

 

atualizei

<?php

function ant_phpinject($pagina){

  //Verifica se a string passada possui algum trecho invalido
  //Caso tenha mostra uma mensagem de erro
  if(eregi("http|www|ftp|.dat|.txt|.gif|wget|from|select|update|insert|delete|where|drop table|show ables|#|\*|--|\\\\", $pagina))
  {
	echo "Página Inválida! Estamos redirecionando você para página inicial.";
echo "<meta http-equiv=\"refresh\" content=\"2; URL=index.php\">";
  }else{
	if(!empty($pagina)) {
		if (file_exists("$pagina.php")) {
			@include ("$pagina.php");
			} else {
			echo "Página Inexistente! Estamos redirecionando você para página inicial.";
echo "<meta http-equiv=\"refresh\" content=\"2; URL=index.php\">";
			}
	}else{
	  echo "Página Indefinida! Estamos redirecionando você para página inicial.";
echo "<meta http-equiv=\"refresh\" content=\"2; URL=index.php\">";
	}
  }
  }
?>

Existe algo mais para deixar ainda mais seguro...?

 

Obrigado desde já

[Beraldo 864]

Voc6e pode melhorar a Expressão Regular: faça a validação com http://, ftp://, www.. Você também pode verificar se esses valores estão no começo da string, para que arquivos assim não sejam vloqueados: sobre_o_www.php[/b].

 

Você também pode verificar se as extensãoes estão no fim da string.

 

http://forum.imasters.com.br/public/style_emoticons/default/thumbsup.gif

[tubadc 0]

desculpe minha ignorânica mas não entendi... pode me dar um exemplo...?

 

OBrigado

[Beraldo 864]

Há dois modificadores para isso:

 

^ -> casa a ER no início da string

$ -> casa a ER no fim da string

 

Para entender melhor, tem que estudar Expressões Regulares:

http://guia-er.sourceforge.net

[tubadc 0]

ficaria assim então

 

if(eregi("^[www]|ftp://|http://|http|ftp|.dat|.txt|.gif|wget|from|select|update|insert|delete|where|drop table|show tables|#|\*|--|\\\\", $pagina))

 

?

 

Obrigado

[Beraldo 864]

não. Você terá de separar, chamar eregi (prefira preg_match) mais de uma vez, para validar o início e o fim da string, com ERs diferentes.

[tubadc 0]

Obrigado pela paciência mas sou ainda leigo em expressões regulares e estou tentando aprender...

 

teria como você me mostrar na prática, como ficaria isso no if acima.... se possível claro...

 

OBrigado mais uma vez e desculpe o incomodo ae..

[Beraldo 864]

Veja um exemplo:

 

PHP

if (preg_match("/^(http://|www.|ftp://)/i", $string) || preg_match("/(.jpg|.gif|.dat|.txt|.sql)$/i", $string))

{

        echo "erro";

}

else

{

        echo "ok";

}

[tubadc 0]

Obrigado Beraldo...

[resolvido]