Будут ли проблемы с безопасностью при генерировании имени метода из имени поля формы?

Question

[Михаил Аброскин]

Вопрос наверно звучит запутано, но на деле все проще:

есть форма для фильтра типа:

<form action method="post">
  <input name="func1" value="1" type="radio"/>
  <input name="func1" value="2" type="radio"/>

  <input name="func2[]" value="1" type="checkbox"/>
   <input name="func2[]" value="2"  type="checkbox"/>

   <input type="submit" value="Ok"/>
</form>

(чисто для примера)

запрос с этой формы передается методу некоего класса, который производит фильтрацию некоего массива, в зависимости от того, что пользователь на выбирал в форме, как так:

<? 

class Filter{
	
//Основной метод вызываемый извне
static public function getFilteredArray($array, $filters){
	foreach($filters as $key1 => $filter){
			if(method_exists($this, $key1)){
				$tmp = array();
				foreach($array as $key2 => $value){
					if($this->$key1($value, $filter)) $temp_arr += [$key2 => $value];
				}
				$array = $tmp;
			}
		}
	}
	
	private function func1($item, $filter){
		//обрабатываем и возвращаем true или false
	}
	private function func2($item, $filter){
		//обрабатываем и возвращаем true или false
	}
}

Соответственно на странице, на которую попадаем после нажатия Ок будет примерно это:

<?
$filter = $_POST;
$filterArray = Filter::getFilteredArray($array, $filter); //$array это некий массив который необходимо отфильтровать

Собственно, вопрос не в том будет работать или нет, так как уже работает (здесь в примере возможно есть ошибки, так как писал по памяти), а вопрос в том безопасно ли использовать такой подход (использование параметры из POST запроса в виде имен методов вызываемых динамически. На данный момент в классе есть метод который проверяет все данные в POST через htmlspecialchars (в примере ее нету), достаточно ли такой проверки?

Answer 1

[MetaDone]

Выкиньте и забудьте. Если нужно что-то фильтровать в кастомном проекте, смотрите сюда - https://github.com/auraphp/Aura.Filter

Comments

[MetaDone]

точнее даже сюда - https://github.com/auraphp/Aura.Filter/blob/2.x/do...

[Михаил Аброскин]

исключено, сайт действующий и ни каких доп библиотек цеплять нельзя, тем более какой смысл изза простейшей задачи сразу цеплять сторонние библиотеки? видел я подобные сайты где на каждый чекбокс отдельная библиотека, и это похоже не пойми на что.
К тому же я не спрашиваю, что будет лучше, или как сделать, я спрашиваю про безопасность данного способа, читайте внимательнее.

[MetaDone]

Михаил Аброскин: "ни каких доп библиотек цеплять нельзя" - это почему же?
"смысл изза простейшей задачи сразу цеплять сторонние библиотеки? " - я к примеру ленивый, и на такую мелочь писать свои обертки мне лень. Если там пара полей - то ок, но если больше - возьму лучше такой компонент и буду радоваться.
по безопасности - светить методы бэкэнда в формах как-то странно.
лучше бы спросили, не просто так пишу же что такое решение лучше выкинуть. Гляньте в логи чтоль, вы в статическом методе вызываете $this->method

если хотите передавать значение снятого чекбокса - перед ним ставьте поле hidden с тем же аттрибутом name
еще ссылка - php.net/manual/ru/function.filter-input.php
еще эпизод - мне никто не мешает поменять код в html на
и радоваться рекурсии без выхода

[MetaDone]

Михаил Аброскин: поменять на
< input name="getFilteredArray" value="1" type="checkbox" / >

[Михаил Аброскин]

проблема в том что это уже написано до меня и мне просто надо добавить несколько полей и соответственно несколько фильтров-функций, и когда я это увидел, то у меня сразу возник вопрос по безопасности. Кстати защита от рекурсии есть, про нее я просто не написал. Поменять нельзя потому как, во первых задачи такой не стояло, т.е. никто за нее не платил) во вторых чтобы что то поменять настолько значительно нужно пройти огонь, воду и т.п. в виде бесчисленных согласований, не говоря уж об обосновании использования сторонних малоизвестных библиотек.