Почему портятся токены firebase при записи в бд?

Question

[di]

В документации https://www.php.net/manual/en/filter.filters.sanit... написано очень скудно, нигде не разжевано что именно удалится и что закодируется. Ищу полчаса в гугле и не нахожу ни одного достойного описания. могу ли я использовать этот фильтр для токенов firebase. они отправляются с мобильного приложения постом на пхп скрипт. FILTER_SANITIZE_STRING испортит эту строку или нет?

Comments

[FanatPHP]

Общий вопрос на самом неплохой, но вот частный вопрос совершенно бессмысленный и ответ на него очевиден:
если ты не знаешь, как надо валидировать нужные тебе данные, то их не следует валидировать

[N]

Пример "входящих" данных есть?
Точнее ты можешь сформулировать для себя "какие данные ты ожидаешь в приложении" ? Если можешь, то соответствующим образом и "фильтруй"...

[N]

По теме:
https://overcoder.net/q/49655/%D1%87%D1%82%D0%BE-%...
Но я уверен - Вы уже это "нагуглили"...

[di]

N, тоже пока не могу понять что именно может попасться в токене. токен вида cM51Sgfts:UHU91bF7yz5Acyvs8Z004ok-zQ6a-noohe2RQ0KzMY-

[FanatPHP]

ты можешь объяснить, что ты хочешь вырезать из этого токена и зачем?

[N]

di, Набор символов же ограничен? Регуляркой можно...

[di]

FanatPHP,

если ты не знаешь, как надо валидировать нужные тебе данные, то их не следует валидировать

Хороший совет) Кто следует ему напишите адреса ресурсов своих) Хотел на выходных пару удачных атак провести

[DevMan]

di, неуместное ехидство. от слова совсем.

[di]

FanatPHP, до меня разработчики написали filter_var с FILTER_SANITIZE_STRING. Сейчас обнаружилось что 30% токенов не сохранилось. Я просто предположил что фильтр мог обрезать токен в "" или null. Поэтому в базе он пустой. но пока у меня недостаточная база. надо понять какого вида токен(еще не разобрался), могут ли в нем быть обратные слеши например. Вообщем я здесь вижу слабое место. Вот дособеру инфу о токене firebase и пойму может или не может это быть причиной ошибки.

Я бы с радостью просто убрал filter. Но надо обоснования какие то иметь. Рук направления не одобрит

[DevMan]

di зачем токены валидировать вообще? когда нужно просто проверить есть ли он и не протух ли он?

[N]

до меня разработчики написали filter_var с FILTER_SANITIZE_STRING. Сейчас обнаружилось что 30% токенов не сохранилось. Я просто предположил что фильтр мог обрезать токен в "" или null. Поэтому в базе он пустой.

Раз он пишется в базу, то тут, как минимум актуально, чтобы SQL-injection не прокатывало...а дальше - как выше написали: банальная проверка на актуальность этого токена...всё...

[di]

DevMan, FILTER_SANITIZE_STRING не я использовал, разработчики 3 года назад. я не знаю что у них было в головах. Очевидно - валидировать, чтоб защититься от инъекций. Кодовая база не самя свежая и подготовленные запросы не везде есть)

ехидство. ну

если ты не знаешь, как надо валидировать нужные тебе данные

узнай как их валидировать как минимум, или попытайся узнать. лучше чем не валидировать совсем)

[N]

Кодовая база не самя свежая и подготовленные запросы не везде есть)

В PHP есть инструменты для работы с MySQL и защиты от SQL-инъекций...без подготовленных запросов...

[N]

При правильном подходе этого тебе будет достаточно:
https://www.php.net/manual/ru/mysqli.real-escape-s...

[FanatPHP]

а это ничего что FILTER_SANITIZE_STRING к sql инъекциям не имеет отношения от слова "совсем" ?

Кто следует ему напишите адреса ресурсов своих

Ты, видимо, как и все начинающие пользователи пхп, воспринимаешь этот фильтр как волшебную палочку - стукнул по данным, и всё - беспокоиться больше не надо, сразу защитил приложение от любых атак.
Увы, это не так. И если это вся защита, которая используется, то "парочка успешных атак" ждет как раз твой сайт

[FanatPHP]

N, о господи.
НУ Я ЖЕ ТЕБЕ ОБЪЯСНЯЛ УЖЕ СТО РАЗ, ЧТО НЕДОСТАТОЧНО
Что ты опять эту ересь сюда тащишь?
Я понимаю, не до всех с первого раза доходит.
Но ты какой-то уж совсем заторможенный. Давай, ускорься, начни уже соображать

[di]

N, https://rmcreative.ru/blog/post/mysql_real_escape_...

[FanatPHP]

В общем понятно, очередной вопрос из серии "я тут пальцем щи хлебал, занозу поставил. теперь ищу домкрат чтобы вытащить"

[Дмитрий]

Токен же вы сами генерируете, посмотрите из чего, не думаю что токен со стороны прилетает

[N]

FanatPHP, Попробую ещё раз:

При правильном подходе этого тебе будет достаточно...

[DevMan]

di, валидация и защита от инъекций – это разные направления. зачастую совсем непересекающиеся.

[di]

FanatPHP, я и не говорю что filter_var всех спасет. я просто сказал что в целом говорить так

если ты не знаешь, как надо валидировать нужные тебе данные, то их не следует валидировать

не очень корректно. я не то что говорю что это очень ужасно, но не совсем правильно по моему.

Да и в целом валидировать вход, экранировать выход надо. но все равно это не дает гарантий. ломать могут и не через инъекции.

[di]

Дмитрий, токен прилетает из firebase на андроид приложение. приложение шлет в систему. через get вроде даже

[di]

Я просто спросил Как именно работает FILTER_SANITIZE_STRING? давайте не будем) занозы, домкраты)

[N]

FanatPHP, P.S.: В некоторых условиях и "подготовленные запросы" не защитят...если исходить из твоих суждений...

[N]

FanatPHP, Ну и в довесок...давай я сделаю тестовую страницу с одним запросом принимающим GET/POST и обработаю только этой функцией...докажешь своё устойчивое НЕДОСТАТОЧНО ? :)

[Дмитрий]

Ну значит валидатор не очень, раз пропускает такое, может из андройда прилетает пустота, может сервер глюк ловит, я бы логер прикрутил и понаблюдал, ну и проверку на пустоту добавил

[N]

di, я сам хотел эту же ссылку сюда скинуть...но оставил на "засыпку"...сам изучи внимательнее что там...))

[di]

Дмитрий, да. кстати может и андроид пустоту отправлять. в целом да, логировать как то надо. да и кстати можно в логи нжинкса глянуть, раз там гет запрос. правда стремно там искать. через grep фильтрануть. спс за подсказку

[FanatPHP]

Я просто спросил Как именно работает FILTER_SANITIZE_STRING

А это ничего, что проблема у тебя совсем другая?

[FanatPHP]

N, понятно, у тебя совсем беда с логикой.
Лепет буквально уровня детского сада: "мыть руки перед операцией нинада! у миня брат нимытыми руками занозу вытащил и низабалел!!!".
инъекции - это не про один специально написанный кусочек говнокода.
при защите от угроз важны не те 100 раз когда она не прошла, а тот один раз, когда сработала

[di]

FanatPHP,
Проблема - не сохранился токен. Нашел место в коде которое посчитал слабо продуманным.
Я декомпозировал проблему на:
1. Понять какие данные приходят с приложения.
2. Понять как работает FILTER_SANITIZE_STRING.

Со вторым вопросом пришел сюда и задал вопрос как работает FILTER_SANITIZE_STRING?

Я спрашивал только вторую часть, надеясь с первой разобраться самостоятельно. По второй интересные штуки например

$token = 'sdfskfdj:<eiuriwo';
echo filter_var($token,FILTER_SANITIZE_STRING) . PHP_EOL;

выведет `sdfskfdj:` вместо казалось бы ожидаемого sdfskfdj:<eiuriwo и оказалось там еще куча подводных камней.

[di]

ну да, чувстсвую себя неловко. спасибо за помощь коллеги. буду учиться правильно формулировать вопросы. неправ был

[N]

FanatPHP, Ты сам то понимаешь что порешь? Причем часто.
Я тебе чёрным по белому пишу: что могу пользоваться только этой функцией в запросах и ты только лоб разобьёшь! И ничего больше.
Приведи пример где это НЕ поможет? Если откинуть неправильное использование этой функции в купе с кодировкой соединения с БД...и банальным НЕ обрамлением в ковычки в запросе...

[N]

FanatPHP,

fanatphp.000webhostapp.com/?name=FanatPHP

Исходник:

<?php

error_reporting(0);

$db_server = 'localhost';
$db_user = 'id16417154_test_user';
$db_password = '[+it56R>=CmE&)bk';
$db_name = 'id16417154_test_db';

// Пытаемся соединиться
$mysqli = new mysqli($db_server, $db_user, $db_password, $db_name);

// Проверяем, удалось ли соединение
if (mysqli_connect_errno()) { 
    printf("Connect failed: %s\n", mysqli_connect_error()); 
    exit(); 
}

// Устанавливаем кодировку подключения
$mysqli->set_charset('utf8');

// Формируем запрос
$sql = 'SELECT * FROM `table` WHERE `name`="'.$mysqli->real_escape_string($_REQUEST['name']).'"';
$result = $mysqli->query($sql);

// Перебор результата
while($row = $result->fetch_object()) {
    print_r($row);
}

// Освобождаем память
$result->free();

// Закрываем соединение
$mysqli->close();

Бейся...

P.S.: Данные БД я выложил сгоряча...не думаю, что полезешь через phpMyAdmin... :)
Не твой же уровень...ага?

[FanatPHP]

N,
с тобой говорить бесполезно
ты не умеешь логически мыслить
для тебя логичным будет вывод вида "человек - млекопитающее, дельфин - млекопитающее. следовательно, человек - это дельфин".

но самое смешное это вот это

.не думаю, что полезешь через phpMyAdmin... :)

ты правда думаешь что имея эти данные, можно залезть к тебе в БД?

[N]

И ещё, держи в помощь:
https://stackoverflow.com/questions/5741187/sql-in...
Но тут не прокатит... :)

[N]

FanatPHP,

ты правда думаешь что имея эти данные, можно залезть к тебе в БД?

В чём проблема загуглить этот хостинг и зайти по доступной ссылке phpMyAdmin ?
Это касается "логически мыслить"...если и тут я "типа дурак"...тогда - прощаемся... :)

[N]

FanatPHP, P.S.: Я не психолог...но Вы, походу, страдаете этим:
https://ru.wikipedia.org/wiki/%D0%9D%D0%B0%D1%80%D...

[FanatPHP]

а ну да
хостинг. пхпадмин.
ну ладно, хоть здесь ты не протупил, а то я уж совсем за тебя переживать начал

[N]

FanatPHP, Да и с тобой всё понятно...))

[FanatPHP]

Ай, моська, знать она сильна :)

[N]

FanatPHP, Твои комменты из серии "я сегодня чай пил..." :)

И такой вопрос(без сарказма):
Куратор тега PHP - каким образом было у тебя? И каким образом пропало?
Чисто спортивный интерес :)

[FanatPHP]

N, ой, не задают такие вопросы без задней мысли
к кураторам предъявляются повышенные требования, а я, очевидно, не хочу им соответствовать
ну и замарана бирочка - её дают кому попало и если видишь ответ от "куратора" то с большой долей вероятности там адок. не хочу в эту компанию

[N]

FanatPHP, Я реально ПРОСТО поинтересовался.
Принял.

[FanatPHP]

N, кстати, это не личная переписка между нами двоими
надеюсь, пароль ты уже сменил

[N]

FanatPHP, Да, конечно.
Но этот хост я регнул за 5 мин из гугла...и уже забыл и забил на него :)

Answer 1

[Владимир Коротенко]

Как вариант предлагаю делать следующее:
Перед записью проверять токен. Если валидный то записываете без всяких проверок, если мусор то отбрасываете.