PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
P

[PHP Strlen] Veilig of niet?

Door Paco oste op 31-08-2010 20:45
2.709 views
Hallo, ik ben bezig aan mijn login systeem ik gebruik op het moment het scriptje van niels, om er wat uit te leren en wat uit te breiden met mijn eigen functie's maar nu vraag ik mij aff of dit veilig is of niet?

<?php
	//Controleerd of er meer dan 16 Letters
	//Of minder dan 6 Letters!
	if(strlen($_POST['username']) > 16) {
		echo 'U naam mag maximum 16 karakters bezitten!';
	} else if($_POST['username']) < 6) {
		echo 'U naam moet minimum 6 Karakters bezitten!';
	}
?>


[size=xsmall]Toevoeging op 31/08/2010 20:50:33:[/size]

EDIT: Bij } else if($_POST['username']) < 6) {
is het } else if(strlen($_POST['username']) < 6) {
- SanThe -
31-08-2010 20:52
Dus 8 spatie's of 8 punten enz. vind jij acceptabel.
P
Paco oste
31-08-2010 20:54
xD dit staat er ook nog 

<?php
if(!preg_match('#\A([a-z]*[0-9]){2,}[a-z]*\z#i', $_POST['password'])){
			echo $LoginErrors[] = 'Geen geldig wachtwoord ingevoerd';
		}
?>
Erik Rijk
31-08-2010 20:55
[php]trim[/php] ook gebruiken.
P
Paco oste
31-08-2010 20:55
of moet hij zo ? 

		if(strlen($_POST['username']) > 16 && preg_match('#\A([a-z]*[0-9]){2,}[a-z]*\z#i')) {
			echo 'U naam mag maximum 16 karakters bezitten!';
		} else if(strlen($_POST['username']) < 6 && preg_match('#\A([a-z]*[0-9]){2,}[a-z]*\z#i') {
			echo 'U naam moet minimum 6 Karakters bezitten!';
		}


[size=xsmall]Toevoeging op 31/08/2010 21:43:49:[/size]

Erik Rijk op 31/08/2010 20:55:32

[php]trim[/php] ook gebruiken.


Kun je mij deze functie misschien uitleggen, want ik snap er de ballen van :O
Jelmer -
31-08-2010 22:23
Ook even iets om aan te denken: strlen() telt het aantal bytes. UTF8 kan voor één karakter meerdere bytes gebruiken, waardoor je het effect hebt dat strlen('é') bijv. 3 terug kan geven. [php]mb_strlen[/php] kan wel goed met utf8 omgaan, en zal in dit voorbeeld wel 1 teruggeven.
raymond van Os
01-09-2010 09:44
probeer dit eens.


<?php
$str = "string with utf-8 chars åèö - doo-bee doo-bee dooh";
$newStr = "";
for ($i = 0; $i < strlen($str); $i++) {
$newStr .= $str[$i];
}
?>
niek s
01-09-2010 13:19
Jelmer rrrr op 31/08/2010 22:23:14

Ook even iets om aan te denken: strlen() telt het aantal bytes. UTF8 kan voor één karakter meerdere bytes gebruiken, waardoor je het effect hebt dat strlen('é') bijv. 3 terug kan geven. [php]mb_strlen[/php] kan wel goed met utf8 omgaan, en zal in dit voorbeeld wel 1 teruggeven.


Yesh.
Ik weet verder ook niet wat strlen() ook al weer deed met een \0. Wat heel veel ook hack gevoellig maakt (escapen als %00 in je post of get)
Jelmer -
01-09-2010 14:42
strlen ziet \0 gewoon als een byte, dus strlen("\0") levert 1 op. Volgens mij begint het feestje zodra je functies die gebruik maken van C-functies gaat proberen. file_exists() en include() zullen bijv. ophouden met lezen van de bestandsnaam bij de eerste nullbyte.

Raymond: dat script is niet bijzonder interessant. Je kopieert gewoon alle bytes van $str naar $newStr. Wat die bytes betekenen maakt PHP niet zoveel uit. Maar probeer maar eens een waarde voor $x te vinden waarbij $str[$x] == "è".
niek s
01-09-2010 15:48
Begrijp ik, maar ik twijfelde dus of strlen
a\0b ziet als 1 of als 3 bytes. Maar dit bevestig je dus als 3 ;-)

Reageren

Inloggen om te reageren