Безопасная регистрация

@arcmag · Регистрация: 27.06.2014

Author24 — интернет-сервис помощи студентам

Всем привет.

Вот я собственно попытался сделать систему регистрации, в PHP пока еще не особо силен, только понемногу начинаю учится.

Хотелось бы попросить знающих программистов оценить код на безопасность (взломают ли меня за 5 минут или нет), поглядеть что да как, дать какую нибудь оценку моему труду (все таки получить от специалиста толковую оценку своей работы это важно).

Дать какие нибудь подсказки, что правильно что не правильно у меня и тд...

В коде старался работать с классами так как это сейчас модно, стильно, молодежно и тд

@useruser · 04.03.2016, 12:42

Бегло посмотрел код. Фильтрацию (проверку) входных данных не обнаружил.
Код взял из разных файлов. Думаю, вы сами найдёте что и где.

Например...

PHP

require_once "../my-function/my-function.php";
require_once "../my-class/my-class.php";
 
//Получили данные от пользователя. Где проверка/фильтрация? Наверно далее....
$email = $_GET["email"];
$password = $_GET["password"];
 
 
//Если есть мыло и пароль то Authorization? Ок.... там проверка?
if(isset($email) && isset($password)) {
try{
Authorization::searchUser(array("email" => $email, "password" => $password));
.....
 
//Ваш класс из другого файла
class Authorization {
    static function searchUser($data) {
//Прекрасно. Подготовили sql запрос с непонятно каким email. Проверки нет. Далее вы выполните его. (
        $query_email = 'SELECT * FROM `users` WHERE email = :email';

Вывод - прекрасная возможность для SQL инъекции. Вы не проверяете данные, не используете функции для проверки либо регулярные выражения.

@tarasalk · 04.03.2016, 12:57

arcmag, а я бы на вашем месте больше беспокоился о архитектуре движка. Хоть и чистенько, но все вперемешку.
Имена типа my-class и my-function совершенно не дают инфы о своем содержимом.
С кодировками тоже косяк.
Честно говоря к каждой строчке можно придраться...

Сообщение от arcmag

В коде старался работать с классами так как это сейчас модно, стильно, молодежно и тд

Еще более модно будет использовать mvc.
А вообще тему ООП вам тоже стоит перечитать, классы это не просто набор статичных функций.

@WhiteMind · 04.03.2016, 12:58

тоже бегло посмотрел код.

Сообщение от useruser

Вывод - прекрасная возможность для SQL инъекции.

не заметил этого. защита в виде подготовленного выражения пдо хорошая.
могу ошибаться…

Сообщение от useruser

Фильтрацию (проверку) входных данных не обнаружил.

вот

PHP

1
2
3

        if(!is_array($data)) {
            throw new Exception("Не корректный тип входных данных!");
        }

вот

PHP

1
2
3

        if(!preg_match(DefaultInfo::$p_login, $data['login'])){
            throw new Exception("Логин может состоять только из букв английского алфавита и цифр");
        }

и вот

PHP

1
2
3

        if (!filter_var($data["email"], FILTER_VALIDATE_EMAIL)) {
            throw new Exception("Не корректный email");
        }

Добавлено через 54 секунды

Сообщение от tarasalk

Честно говоря к каждой строчке можно придраться...

например

@arcmag · 04.03.2016, 13:18 **[ТС]**

Сообщение от useruser

Вы не проверяете данные, не используете функции для проверки либо регулярные выражения.

Ну я читал что вроде бы если подготавливать запрос к БД в таком стиле

PHP

        $q_add_user = "INSERT INTO `users` (login, email, password) VALUES (:login, :email, :password)";
 
        $db = new DB(DefaultInfo::$defaultDataDB);
        $pdo = $db->connect();
 
        $data = array(
            'email'     =>  $user->email,
            'login'     =>  $user->login,
            'password'  =>  $user->password
        );
 
        $user_data = $pdo->prepare($q_add_user); // 1
        $user_data->execute($data); // 2

то это вроде бы безопасно...

@useruser · 04.03.2016, 13:21

Сообщение от WhiteMind

не заметил этого. защита в виде подготовленного выражения пдо хорошая.

Вы понимаете смысл процитированных вами участков кода? На каких этапах производится проверка и что она делает?

Ну и по определению, принятые данные должны быть сразу проверены (отфильтрованы). На стороне сервера. Сразу.
Функциями, регулярными выражениями...чем угодно...главное отфильтрованы. Так надо организовать логику системы.
А не откладывать эту задачу. Вот сначала если есть логин и email тогда создам из них массив, а потом....и там где то...
А там где то уже взломают.

@WhiteMind · 04.03.2016, 13:23

Сообщение от useruser

А там где то уже взломают.

как взломают?

Сообщение от useruser

Вы понимаете смысл процитированных вами участков кода?

а вы? возможно вы видите как в обход проверок данные подаются на создание юзера? я не заметил этого.

Сообщение от useruser

На стороне сервера.

а это что?

@tarasalk · 04.03.2016, 13:24

Сообщение от WhiteMind

Сообщение от tarasalk

Честно говоря к каждой строчке можно придраться...

например

Например класс регистрация. Прям в коде прокомментирую.

PHP

<?
// почему все статичное?
class Registration {
    // зачем выносить sql сюда, почему бы не создать полноценные методы
    static private $query_table = 'SELECT * FROM `users`';
    static private $query_login = 'SELECT * FROM `users` WHERE login = :login';
    static private $query_email = 'SELECT * FROM `users` WHERE email = :email';
 
    // функциональность не совпадает с именем метода
    static function init($data) {
        // жесткая зависимость сразу от двух классов
        $db = new DB(DefaultInfo::$defaultDataDB);
        $pdo = $db->connect();
 
        // с какого перепуга Exception на банальную проверку данных.
        if(!is_array($data)) {
            throw new Exception("Не корректный тип входных данных!");
        }
 
        // почему регулярка берется из совершенно левого класса?
        if(!preg_match(DefaultInfo::$p_login, $data['login'])){
            throw new Exception("Логин может состоять только из букв английского алфавита и цифр");
        }
 
        // каша с названиями
        $login_test = $pdo->prepare(self::$query_login);
        $login_test->execute(array('login' => $data["login"]));
 
        // зачем цикл? для проверки достаточно найти хотя бы одного пользователя с таким логином
        foreach($login_test as $login_db){
            // то что это массив, не гарантирует что пользователь уже существует
            if(is_array($login_db)) {
                // грамматическая ошибка
                throw new Exception("Пользователь с таким логином уже суещствует!");
            }
        }
 
 
        if (!filter_var($data["email"], FILTER_VALIDATE_EMAIL)) {
            throw new Exception("Не корректный email");
        }
 
        $email_test = $pdo->prepare(self::$query_email);
        $email_test->execute(array('email' => $data["email"]));
        foreach($email_test as $email_db){
            if(is_array($email_db)) {
                // перемешан html и php.
                throw new Exception("Указанный e-mail(" . $data["email"] . ") уже занят!<br>");
            }
        }
 
        // еще две жесткие зависимости. 
        // переход в контроллер должен быть только из роутера
        DBController::addUser(new CreateUser($data));
 
        header("Location: http://" . $_SERVER["SERVER_NAME"] . "/registration/info.php?email=" . $data["email"]);
    }
}

@arcmag · 04.03.2016, 13:26 **[ТС]**

tarasalk,

Сообщение от tarasalk

С кодировками тоже косяк.

Вот тут соглашусь... прямо не знаю что делать.

Раньше я на php почти не кодил а тут решил и возникла такая беда с этими кодировками, файл через файл выдавалась сплошная абракадабра!

Хотя сейчас вроде бы все работает как надо...

Сообщение от tarasalk

а я бы на вашем месте больше беспокоился о архитектуре движка.

- а это где можно почитать про такое (ну только чтоб более менее понятно было начинающему)?

@useruser · 04.03.2016, 13:38

Сообщение от WhiteMind

а вы? возможно вы видите как в обход проверок данные подаются на создание юзера? я не заметил этого.

А кто говорил о создании? Не я. Вы смотрите не там. Смотрите авторизацию.

Сообщение от WhiteMind

как взломают?

Вот. Посмотрите там где надо.

Сообщение от WhiteMind

а это что?

Фильтрация входных данных пользователя может осуществляться на стороне клиента или сервера.
Для "веб" решений.
Клиент - это браузер. Язык javascript.
Сервер - это веб-сервер. Язык - php.

Сообщение от arcmag

Ну я читал что вроде бы если подготавливать запрос к БД в таком стиле

Стиль подготовки запроса не подразумевает защиту вашей системы от взлома.
Не вижу никакой безопасности в приведенном выше коде.

Добавлено через 4 минуты

Сообщение от arcmag

Раньше я на php почти не кодил а тут решил и возникла такая беда с этими кодировками

Кодировки это - одна кодировка (пусть utf-8) для всего нижеперечисленного
1) Базы (при создании)
2) Подключения к базе
3) Файлов-скриптов как текстовых файлов (utf-8 ,без bom)
4) Метатег в выходном html файле.
5) Указание кодировки в .htaccess
Вроде всё...

@WhiteMind · 04.03.2016, 13:51

Сообщение от useruser

Смотрите авторизацию.

хм. вроде бы все правильно же.
минус канешно
что нет проверки на размер и могут гоняться большие email на sql сервер.
может быть переполнение запроса...
опасности для взлома я тут не вижу. просто не эфективно

PHP

    static function searchUser($data) {
        $query_email = 'SELECT * FROM `users` WHERE email = :email';
 
        $db = new DB(DefaultInfo::$defaultDataDB);
        $pdo = $db->connect();
 
        if(!is_array($data)) {
            throw new Exception("Не корректный тип входных данных!");
        }
 
        $user = $pdo->prepare($query_email);
        $user->execute(array('email' => $data["email"]));
 
        if($user->rowCount() == 0) {
            throw new Exception("Указанный вами e-mail(" . $data["email"] . ") не найден!");
        }
 
        foreach($user as $info){
            if($data["password"] == $info["password"]) {
                self::authorUser($info["id"]);
                header("Location: http://" . $_SERVER["SERVER_NAME"]);
            }
            else {
                throw new Exception("Вы ввели не верный пароль");
            }
        }
    }

Сообщение от tarasalk

// жесткая зависимость сразу от двух классов

а как тут надо поступить?

Сообщение от tarasalk

// с какого перепуга Exception на банальную проверку данных.

это не очень правильно.

Сообщение от tarasalk

// зачем выносить sql сюда, почему бы не создать полноценные методы

так проще и быстрее. задача же только в регистрации.
думаю что все замечания справедливы( особенно про Exception ), однако безопсность( возможность sql инекции, занесение неправельных данных в базу, получение доступа без пароля - я не заметил, хотя пароль можно было бы и захешировать ) вроде бы не нарушена.

@useruser · 04.03.2016, 14:05

Сообщение от WhiteMind

хм. вроде бы все правильно же.

Ладно, уточню. С комментариями

PHP

require_once "../my-function/my-function.php"; //Подключили файл
require_once "../my-class/my-class.php"; //Подключили файл
 
$email = $_GET["email"]; //Приняли неизвестно что методом GET
$password = $_GET["password"]; //Приняли неизвестно что методом GET
 
//Если есть 2 неизвестно что
if(isset($email) && isset($password)) {
    try{
//Это неизвестно что формируем в массив. И этот массив с неизвестно чем передаем в ф-цию searchUser класса Authorization
Authorization::searchUser(array("email" => $email, "password" => $password));
//Далее ещё код
?>

Уже тут должны были возникнуть вопросы...

PHP

//Класс и функция
class Authorization {
    static function searchUser($data) {
 
//Подготовили переменную с ниизвестно чем
        $query_email = 'SELECT * FROM `users` WHERE email = :email';
//Работаем с БД
        $db = new DB(DefaultInfo::$defaultDataDB);
        $pdo = $db->connect();
 
//Неизвестно что массив? Если нет - давай досвиданья (и тоже не совсем корректно, но не суть)
        if(!is_array($data)) {
            throw new Exception("Не корректный тип входных данных!");
        }
//Надежда на pdo? 
 $user = $pdo->prepare($query_email);
//Прекрасно, только что мы выполнили sql запрос с неисвестно чем!
        $user->execute(array('email' => $data["email"]));

@WhiteMind · 04.03.2016, 14:10

Сообщение от useruser

//Прекрасно, только что мы выполнили sql запрос с неисвестно чем!

хоть бинарные данные и \x00 - какая разница?
prepare - должен экранировать все.
раз все экранированно то

запись вида email = :email
понимается на Sql сервере как IsEqual( `email` , '..data..' ) и не как иначе.
=> может быть только переполнение запроса и возможные изза этого исключения.
поправте меня если я где то ошибся

@useruser · 04.03.2016, 14:26

Сообщение от WhiteMind

поправьте меня если я где то ошибся

Всё вами вышенаписанное верно. И вроде нет угрозы, но...
Я бы всё равно советовал фильтровать данные после их получения и не надеяться на prepare.
Автор этого не делает и пропускает неотфильтрованные данные до самого запроса. Это плохая привычка.

Обратите внимание (цитаты),
"Вызов PDO::prepare() .... а также помогает избежать SQL инъекций, так как нет необходимости экранировать передаваемые параметры." Здорово.
Но:
"Эта функция является ЭКСПЕРИМЕНТАЛЬНОЙ. Поведение этой функции, ее имя и относящаяся к ней документация могут измениться в последующих версиях PHP без уведомления. Используйте эту функцию на свой страх и риск."

Если вас устраивает такой подход к безопасности, то да - угрозы нет.
Но я останусь при совоем мнении - так делать нельзя. И если автора захотят взломать, то это сыграет взломщикам на руку.
Но скорее всего, автор как Неуловимый Джо...

@tarasalk · 04.03.2016, 14:51

Сообщение от WhiteMind

Сообщение от tarasalk

// жесткая зависимость сразу от двух классов

а как тут надо поступить?

Например внедрить внешние зависимости через конструктор. Тык

Кстати еще заметил проблему в тех же строчках:

PHP

1 2	$db = new DB(DefaultInfo::$defaultDataDB); $pdo = $db->connect();

Смысл в классе DB, если из него все равно сразу же вытаскивают pdo и работают только с pdo. Раз уж сделали обертку над pdo, так работайте с высокоуровневой оберткой, которую легко модернизировать( например вообще сменить pdo на другое)

@WhiteMind · 04.03.2016, 14:57

Сообщение от tarasalk

Например внедрить внешние зависимости через конструктор. Тык

ну с дб да, можно было бы и передавать, впрочем из-за примитивности задачи и ускорения разработки можно и так как сделал arcmag, ну а DefaultInfo - будем считать конфиг простанство для переменных.

Новые блоги и статьи
Как работать с GraphQL на TypeScript InfoMaster 08.01.2025 Введение в GraphQL и TypeScript В современной разработке веб-приложений GraphQL стал мощным инструментом для создания гибких и эффективных API. В сочетании с TypeScript, эта технология. . .	Счётчик на базе сумматоров + регистров и генератора сигналов согласования. Hrethgir 07.01.2025 Создан с целью проверки скорости асинхронной логики: ранее описанного сумматора и предополагаемых fast регистров. Регистры созданы на базе ранее описанного, предполагаемого fast триггера. То-есть. . .	Как перейти с Options API на Composition API в Vue.js BasicMan 06.01.2025 Почему переход на Composition API актуален В мире современной веб-разработки фреймворк Vue. js продолжает эволюционировать, предлагая разработчикам все более совершенные инструменты для создания. . .	Архитектура современных процессоров inter-admin 06.01.2025 Процессор (центральный процессор, ЦП) является основным вычислительным устройством компьютера, которое выполняет обработку данных и управляет работой всех остальных компонентов системы. Архитектура. . .	История создания реляционной модели баз данных, правила Кодда Programming 06.01.2025 Предпосылки создания реляционной модели В конце 1960-х годов компьютерная индустрия столкнулась с серьезными проблемами в области управления данными. Существовавшие на тот момент модели данных -. . .	Полезные поделки на Arduino, которые можно сделать самому raxper 06.01.2025 Arduino как платформа для творчества Arduino представляет собой удивительную платформу для технического творчества, которая открывает безграничные возможности для создания уникальных проектов. Эта. . .
Подборка решений задач на Python IT_Exp 06.01.2025 Целью данной подборки является предоставление возможности ознакомиться с различными задачами и их решениями на Python, что может быть полезно как для начинающих, так и для опытных программистов. . . .	С чего начать программировать микроконтроллеры raxper 06.01.2025 Введение в мир микроконтроллеров Микроконтроллеры стали неотъемлемой частью современного мира, окружая нас повсюду: от простых бытовых приборов до сложных промышленных систем. Эти маленькие. . .	Из чего собрать игровой компьютер inter-admin 06.01.2025 Сборка игрового компьютера требует особого внимания к выбору комплектующих и их совместимости. Правильно собранный игровой ПК не только обеспечивает комфортный геймплей в современных играх, но и. . .	Обновление сайта www.historian.by Reglage 05.01.2025 Обещал подвести итоги 2024 года для сайта. Однако начну с того, что изменилось за неделю. Добавил краткий урок по последовательности действий при анализе вредоносных файлов и значительно улучшил урок. . .	Как использовать GraphQL в C# с HotChocolate Programming 05.01.2025 GraphQL — это современный подход к разработке API, который позволяет клиентам запрашивать только те данные, которые им необходимы. Это делает взаимодействие с API более гибким и эффективным по. . .	Модель полного двоичного сумматора с помощью логических операций (python) AlexSky-coder 04.01.2025 def binSum(x:list, y:list): s=^y] p=x and y for i in range(1,len(x)): s. append((x^y)^p) p=(x and y)or(p and (x or y)) return s x=list() y=list()

@tarasalk 1992 / 1216 / 440 Регистрация: 13.06.2013 Сообщений: 4,115
	04.03.2016, 12:57	3
	arcmag, а я бы на вашем месте больше беспокоился о архитектуре движка. Хоть и чистенько, но все вперемешку. Имена типа my-class и my-function совершенно не дают инфы о своем содержимом. С кодировками тоже косяк. Честно говоря к каждой строчке можно придраться... Сообщение от arcmag В коде старался работать с классами так как это сейчас модно, стильно, молодежно и тд Еще более модно будет использовать mvc. А вообще тему ООП вам тоже стоит перечитать, классы это не просто набор статичных функций. 1

@useruser 165 / 89 / 38 Регистрация: 29.06.2015 Сообщений: 1,098
	04.03.2016, 13:21	6
	Сообщение от WhiteMind не заметил этого. защита в виде подготовленного выражения пдо хорошая. Вы понимаете смысл процитированных вами участков кода? На каких этапах производится проверка и что она делает? Ну и по определению, принятые данные должны быть сразу проверены (отфильтрованы). На стороне сервера. Сразу. Функциями, регулярными выражениями...чем угодно...главное отфильтрованы. Так надо организовать логику системы. А не откладывать эту задачу. Вот сначала если есть логин и email тогда создам из них массив, а потом....и там где то... А там где то уже взломают. 1

@WhiteMind Hello Kitty 690 / 562 / 402 Регистрация: 12.02.2016 Сообщений: 1,436 Записей в блоге: 1
	04.03.2016, 13:23	7
	Сообщение от useruser А там где то уже взломают. как взломают? Сообщение от useruser Вы понимаете смысл процитированных вами участков кода? а вы? возможно вы видите как в обход проверок данные подаются на создание юзера? я не заметил этого. Сообщение от useruser На стороне сервера. а это что? 1

@arcmag 347 / 322 / 203 Регистрация: 27.06.2014 Сообщений: 762
	04.03.2016, 13:26 [ТС]	9
	tarasalk, Сообщение от tarasalk С кодировками тоже косяк. Вот тут соглашусь... прямо не знаю что делать. Раньше я на php почти не кодил а тут решил и возникла такая беда с этими кодировками, файл через файл выдавалась сплошная абракадабра! Хотя сейчас вроде бы все работает как надо... Сообщение от tarasalk а я бы на вашем месте больше беспокоился о архитектуре движка. - а это где можно почитать про такое (ну только чтоб более менее понятно было начинающему)? 0

@useruser 165 / 89 / 38 Регистрация: 29.06.2015 Сообщений: 1,098
	04.03.2016, 13:38	10
	Сообщение от WhiteMind а вы? возможно вы видите как в обход проверок данные подаются на создание юзера? я не заметил этого. А кто говорил о создании? Не я. Вы смотрите не там. Смотрите авторизацию. Сообщение от WhiteMind как взломают? Вот. Посмотрите там где надо. Сообщение от WhiteMind а это что? Фильтрация входных данных пользователя может осуществляться на стороне клиента или сервера. Для "веб" решений. Клиент - это браузер. Язык javascript. Сервер - это веб-сервер. Язык - php. Сообщение от arcmag Ну я читал что вроде бы если подготавливать запрос к БД в таком стиле Стиль подготовки запроса не подразумевает защиту вашей системы от взлома. Не вижу никакой безопасности в приведенном выше коде. Добавлено через 4 минуты Сообщение от arcmag Раньше я на php почти не кодил а тут решил и возникла такая беда с этими кодировками Кодировки это - одна кодировка (пусть utf-8) для всего нижеперечисленного 1) Базы (при создании) 2) Подключения к базе 3) Файлов-скриптов как текстовых файлов (utf-8 ,без bom) 4) Метатег в выходном html файле. 5) Указание кодировки в .htaccess Вроде всё... 1

@WhiteMind Hello Kitty 690 / 562 / 402 Регистрация: 12.02.2016 Сообщений: 1,436 Записей в блоге: 1
	04.03.2016, 14:10	13
	Сообщение от useruser //Прекрасно, только что мы выполнили sql запрос с неисвестно чем! хоть бинарные данные и \x00 - какая разница? prepare - должен экранировать все. раз все экранированно то запись вида email = :email понимается на Sql сервере как IsEqual( `email` , '..data..' ) и не как иначе. => может быть только переполнение запроса и возможные изза этого исключения. поправте меня если я где то ошибся 0

@useruser 165 / 89 / 38 Регистрация: 29.06.2015 Сообщений: 1,098
	04.03.2016, 14:26	14
	Сообщение от WhiteMind поправьте меня если я где то ошибся Всё вами вышенаписанное верно. И вроде нет угрозы, но... Я бы всё равно советовал фильтровать данные после их получения и не надеяться на prepare. Автор этого не делает и пропускает неотфильтрованные данные до самого запроса. Это плохая привычка. Обратите внимание (цитаты), "Вызов PDO::prepare() .... а также помогает избежать SQL инъекций, так как нет необходимости экранировать передаваемые параметры." Здорово. Но: "Эта функция является ЭКСПЕРИМЕНТАЛЬНОЙ. Поведение этой функции, ее имя и относящаяся к ней документация могут измениться в последующих версиях PHP без уведомления. Используйте эту функцию на свой страх и риск." Если вас устраивает такой подход к безопасности, то да - угрозы нет. Но я останусь при совоем мнении - так делать нельзя. И если автора захотят взломать, то это сыграет взломщикам на руку. Но скорее всего, автор как Неуловимый Джо... 0

@WhiteMind Hello Kitty 690 / 562 / 402 Регистрация: 12.02.2016 Сообщений: 1,436 Записей в блоге: 1
	04.03.2016, 14:57	16
	Сообщение от tarasalk Например внедрить внешние зависимости через конструктор. Тык ну с дб да, можно было бы и передавать, впрочем из-за примитивности задачи и ускорения разработки можно и так как сделал arcmag, ну а DefaultInfo - будем считать конфиг простанство для переменных. 0