PHP-вопрос

[DogEater]

А можно я тоже кааапельку повыпендриваюсь?

Код:

if (isset ($_GET['id']) and preg_match ("/^\d$/",$_GET['id'])){
   include($_GET['id'].".htm");
}
else {
   include("1.htm");
}

[Mirnyi]

А можно я тоже кааапельку повыпендриваюсь?

Код:

if (isset ($_GET['id']) and preg_match ("/^\d$/",$_GET['id'])){
   include($_GET['id'].".htm");
}
else {
   include("1.htm");
}

Я-то по-ламерски. Регулярники для меня - тёмный лес
Значение набора символов /^\d$/ у меня в голове не помещается

[DogEater]

Я-то по-ламерски. Регулярники для меня - тёмный лес
Значение набора символов /^\d$/ у меня в голове не помещается

Сразу после начала строки идёт одна цифра, далее следует конец строки.
Это гарантированная проверка на то, что в переменной только один символ и это есть цифра. После чего уже можно спокойно инклюдить.

[Mirnyi]

Это гарантированная проверка на то, что в переменной только один символ и это есть цифра.

отвалбашки

[harinalex]

Сразу после начала строки идёт одна цифра, далее следует конец строки.
Это гарантированная проверка на то, что в переменной только один символ и это есть цифра. После чего уже можно спокойно инклюдить.

тогда уж надо предусмотреть и 99.htm (вряд ли там так мало файлов ) . имхо , лучше просто /[0-9]/ или /^[\d]+/

[DogEater]

отвалбашки

отвал говоришь?
А если нужны цифры только от 3 до 5 и во входящих данных - мусор?

Код:

if (preg_match ("/^[\D]*/([3-5]{1}).*$/",$_GET['id'],$id) ){
   include($id[1].".htm");
}
else {
   include("1.htm");
}

---------- Добавлено в 19:24 ---------- Предыдущее сообщение было написано в 19:21 ----------

тогда уж надо предусмотреть и 99.htm (вряд ли там так мало файлов ) . имхо , лучше просто /[0-9]/

скорее всего 0.htm вряд ли стоит учитывать.

Код:

if (preg_match ("/^[\D]*/([1-9][0-9]?).*$/",$_GET['id'],$id) ){
   include($id[1].".htm");
}
else {
   include("1.htm");
}

[Mirnyi]

тогда уж надо предусмотреть и 99.htm (вряд ли там так мало файлов ) . имхо , лучше просто /[0-9]/

И тогда функция вернёт истину на любой набор символов хоть с одной цифрой (если я не ошибаюсь)
Вот за то и не люблю регулярные, что можно написать такого, что сам потом не разберёшь.
Но, конечно, это только отмазка, чтобы мозг не ломать "китайской грамотой".
Если знать их хорошо и функции которые с ними работают, то инструмент мощнейший.

[harinalex]

И тогда функция вернёт истину на любой набор символов хоть с одной цифрой (если я не ошибаюсь)
Вот за то и не люблю регулярные, что можно написать такого, что сам потом не разберёшь.
Но, конечно, это только отмазка, чтобы мозг не ломать "китайской грамотой".
Если знать их хорошо и функции которые с ними работают, то инструмент мощнейший.

нет , только этот диапазон цифр

[DogEater]

И тогда функция вернёт истину на любой набор символов хоть с одной цифрой (если я не ошибаюсь)
Вот за то и не люблю регулярные, что можно написать такого, что сам потом не разберёшь.
Но, конечно, это только отмазка, чтобы мозг не ломать "китайской грамотой".
Если знать их хорошо и функции которые с ними работают, то инструмент мощнейший.

Не пожидись, купи себе немножечко Джеффри Фридла, "Регулярные выражения". Я купил второе издание в 2003 за 256 рублей, и до сих пор не жалею.
Даже если ты осилишь первые 3 главы - это сильно поднимет твой уровень.

[Mirnyi]

отвал говоришь?
А если нужны цифры только от 3 до 5 и во входящих данных - мусор?

Да нет, я же не против
Даже наоборот - за.

[harinalex]

скорее всего 0.htm вряд ли стоит учитывать.

Код:

if (preg_match ("/^[\D]*/([1-9][0-9]?).*$/",$_GET['id'],$id) ){
   include($id[1].".htm");
}
else {
   include("1.htm");
}

в 0.htm можно какую-нибудь обидную фразу написАть

главное , что инъекцию не даст сделать - и ладно .

[Mirnyi]

нет , только этот диапазон цифр

int preg_match (string pattern, string subject [, array matches [, int flags]])

Ищет в subject совпадения с регулярным выражением, заданным в pattern.

Если matches предоставлен, он заполняется результатами поиска. $matches[0] будет содержать текст, совпавший со всем патэрном, $matches[1] будет содержать текст, совпавший первым захваченным субпатэрном в скобках, и так далее.

Или я ничего не понимаю, или встретив одну цифру в subject, эта функция вернёт не 0, т.е. истину.
Т.е., можно и такую маску задать, но тогда нужно менять условия или инклюдить уже не переменную, а результаты функции (которые ещё выбрать нужно правильно).
Т.е., кроме самого регулярника нужно ещё учитывать что же оно реально делает в функции.

[harinalex]

Или я ничего не понимаю, или встретив одну цифру в subject, эта функция вернёт не 0, т.е. истину.
Т.е., можно и такую маску задать, но тогда нужно менять условия или инклюдить уже не переменную, а результаты функции (которые ещё выбрать нужно правильно).
Т.е., кроме самого регулярника нужно ещё учитывать что же оно реально делает в функции.

мне функция preg_match не нравится , имхо для таких целей лучше preg_match_all использовать , она не остановится после первого нахождения.
мне больше по душе htmlspecialchars(preg_replace("/[^1-9]/"),"",$id)


В общем , надо память освежить - пошел читать http://php.net/

[DogEater]

Или я ничего не понимаю, или встретив одну цифру в subject, эта функция вернёт не 0, т.е. истину.
Т.е., можно и такую маску задать, но тогда нужно менять условия или инклюдить уже не переменную, а результаты функции (которые ещё выбрать нужно правильно).
Т.е., кроме самого регулярника нужно ещё учитывать что же оно реально делает в функции.

Отнесу к последнему выражению.
идёт начало строки, затем мусор (любое количество не-цифр), если затем встречается цифра от 1 до 9 то хорошо, а если после неё будет цифра от 0 до 9 -0 то ещё лучше(не будет второй цифры - фиг с ней, она не обязательна) - запомним эти цифры (потому что в скобках), а всё остальное - остаток строки до конца совпадёт с сочетанием .*(любое количество любых символов), но мы запомним первые попавшиеся цифры, и возьмём их из $id[1] (потому что в $id[0] будет всё что совпало с шаблоном, а в $id[1] - только то, что совпало в первых скобках)
таким образом мы вытащим из строки с мусором число от 1 до 99.

[Mirnyi]

Отнесу к последнему выражению.
идёт начало строки, затем мусор (любое количество не-цифр), если затем встречается цифра от 1 до 9 то хорошо, а если после неё будет цифра от 0 до 9 -0 то ещё лучше(не будет второй цифры - фиг с ней, она не обязательна) - запомним эти цифры (потому что в скобках), а всё остальное - остаток строки до конца совпадёт с сочетанием .*(любое количество любых символов), но мы запомним первые попавшиеся цифры, и возьмём их из $id[1] (потому что в $id[0] будет всё что совпало с шаблоном, а в $id[1] - только то, что совпало в первых скобках)
таким образом мы вытащим из строки с мусором число от 1 до 99.

Всё правильно, но, согласись, что это всёже не /[0-9]/, подставленное в первый пример.
А ошибки при использовании регулярных выражений вылазят довольно часто даже у профессионалов.
Я только говорю о том, что когда определён конечный словарь того, что может быть в запросе, часто проще и надёжнее запрос проверить в лоб.
Всё, что в $_GET генерируется самим кодом. Если это не бескончная случайная последовательность символов (не может быть любым), то всё что содержит мусор или проще говоря не совпадает с ограниченным числом возможных значений можно просто послать нафиг.
Это и в парсерах логов порой лучше работает, чем регулярное выражение в 14 этажей.

Кстати, спасибо за наводку на книжку - уже читаю.

[DogEater]

Всё правильно, но, согласись, что это всёже не /[0-9]/, подставленное в первый пример.
А ошибки при использовании регулярных выражений вылазят довольно часто даже у профессионалов.
Я только говорю о том, что когда определён конечный словарь того, что может быть в запросе, часто проще и надёжнее запрос проверить в лоб.
Всё, что в $_GET генерируется самим кодом. Если это не бескончная случайная последовательность символов (не может быть любым), то всё что содержит мусор или проще говоря не совпадает с ограниченным числом возможных значений можно просто послать нафиг.
Это и в парсерах логов порой лучше работает, чем регулярное выражение в 14 этажей.

У нас простейший пример - 2 цифры. В конце концов вполне сойдёт (\d\d?)
Поскольку я - сисадмин, значит профессиональный параноик. Поэтому входной контроль данных - не считаю лишним. Мало ли кто чего пошлёт. Код или не код сгенерировал запрос - я то откуда знаю?
вот - пример - проверка на похожесть ldap rdn с одновременным разбиенем на массив:

Код:

preg_match_all ("/([^=,]+=[^=,]+),?/",$person,$target)

а уж про парсинг пчелайновских счетов я вообще молчу(номера, длительность, цена)

Кстати, спасибо за наводку на книжку - уже читаю.

Джеффри обещал, что книга будет читаться как роман. Не соврал.

[Mirnyi]

А можно ещё и вот так:
/^\d+$/ - любое целое число без лишних символов (включая 0)
или
/^[0-9]+$/ -тоже самое



Я теперь тоже по-китайски умею

[CoValent]

Так, краткое описание моей задачи и вывод:

1. Есть статическая оболочка сайта-визитки, подгружаемая через 3 вызова include (грубо - "статически шапка", "статически подвал" и "динамически контент").
2. Контент в HTML, причём имя файла значимое, а не цифровое.
3. Исходя из вышеперечисленных условий, а также возможности инъекции черехз вызов "чего попало" любые решения этой задачи, как цифровые, так и списковые, к сожалению, абсолютно неинтересны.

Ибо проще создать кучу контента с двумя статическими вызовами оболочки.

Большое спасибо всем, кто потратил своё время и просветил о нежелательности использования динамического вызова!

[Mirnyi]

Так, краткое описание моей задачи и вывод:

1. Есть статическая оболочка сайта-визитки, подгружаемая через 3 вызова include (грубо - "статически шапка", "статически подвал" и "динамически контент").
2. Контент в HTML, причём имя файла значимое, а не цифровое.
3. Исходя из вышеперечисленных условий, а также возможности инъекции черехз вызов "чего попало" любые решения этой задачи, как цифровые, так и списковые, к сожалению, абсолютно неинтересны.

Ибо проще создать кучу контента с двумя статическими вызовами оболочки.

Большое спасибо всем, кто потратил своё время и просветил о нежелательности использования динамического вызова!

А зря ты так.
Если есть куча файлов, лежащих известно где, то просто организуешь проверку папки с файлами на наличие файла с именем, поступившим через запрос. Если файл найден - выводишь, если нет - посылаешь нафиг.
Список-то у тебя уже есть.

[CoValent]

А зря ты так.
Если есть куча файлов, лежащих известно где, то просто организуешь проверку папки с файлами на наличие файла с именем, поступившим через запрос. Если файл найден - выводишь, если нет - посылаешь нафиг.
Список-то у тебя уже есть.

Почему зря и откуда у меня список?...

Сегодня содержание такое-то - а завтра хозяин попросил добавить пару html-файлов и двести фото...

Нет, конечно, если ты всерьёз считаешь, что мне проще сделать длинный список, чем вызывать поимённо нужный файл - то я с тобой соглашусь... но чем это будет проще я пока не понимаю.

[Mirnyi]

Почему зря и откуда у меня список?...

Сегодня содержание такое-то - а завтра хозяин попросил добавить пару html-файлов и двести фото...

Нет, конечно, если ты всерьёз считаешь, что мне проще сделать длинный список, чем вызывать поимённо нужный файл - то я с тобой соглашусь... но чем это будет проще я пока не понимаю.

Список у тебя на винте есть всегда.
Можно входящую строку проверить на слеши и сделать if fileexist()
А можно сделать list папки и сравнить поэлементно массив с входной строкой.
И так, и так никакая инъекция не пройдёт.

[DogEater]

Список у тебя на винте есть всегда.
Можно входящую строку проверить на слеши и сделать if fileexist()
А можно сделать list папки и сравнить поэлементно массив с входной строкой.
И так, и так никакая инъекция не пройдёт.

Ну да. Цифры в полученной переменной могут быть всего лишь номером(ключом) массива из имён файлов(см glob()). Сначала отдаёшь номер элемента массива, содержащего имя файла в ссылку, а при запросе по номеру подгружаешь контент по имени из этого элемента.
Куда уж безопаснее.
Вот так делаем ссылку:

Код:

<?php
$files=glob ($config['incpath']."/files/*jp*");
    foreach ($files as $file){
        print "<a href=".$SERVER['SCRIPT_NAME']."?id=".$id++.">Файл No $id</a>\n";
    }
?>

Вот так формируем ответ:
Напрямую снаружи ничего не берётся. Только подкидывай фалы в папку(если *nix - регистр в имени файла учитывается).

Код:

<?php
$files=glob ($config['incpath']."/files/*jp*");
if (preg_match ("/(\d+)/",$_GET['id'],$id)){
    if (is_file($files[$id[1]]))
        include($files[$id[1]].".htm");
    }
else {
    if (is_file("1.htm"))
        include("1.htm");
}
?>

[Mirnyi]

Ну да. Цифры в полученной переменной могут быть всего лишь номером(ключом) массива из имён файлов(см glob()). Сначала отдаёшь номер элемента массива, содержащего имя файла в ссылку, а при запросе по номеру подгружаешь контент по имени из этого элемента.
Куда уж безопаснее.

Тогда массив где-то хранить надо иначе при добавлении файлов ссылки поплывут.
Ну а как заинъектировать что-то, чего нет в нужной папке в этом случае - я не знаю. Даже если слеши не проверять - include("имяпапки\".$_GET['id'].".hml") или ругнётся или возьмёт что надо. Особенно если подпапок нет.
Ну для пущей перестраховки - перепровериться на слеши или удалить их.

[DogEater]

Массив поплывёт только если запрос был до изменения списка файлов.
Судя по задаче - набросать всего, а потом изредка докидывать - считай статичный контент.

[Mirnyi]

Массив поплывёт только если запрос был до изменения списка файлов.
Судя по задаче - набросать всего, а потом изредка докидывать - считай статичный контент.

он поплывёт если изменения внесены между отправкой ссылки и получением запроса.
Т.е. "прощай избранное и обмен ссылками"
Да и сегодня вообще "модно" когда ссылка осмысленная - при желании можно и без переменных вообще обойтись - прямо в путь имя файла прописывать, rewrite-ом перенаправлять (на апаче)