Sanityzacja PHP odc. 3

Question

Dlaczego w w odc.3 PHP:  https://youtu.be/fMJw90n8M60?t=2667  walidacje poprzedzono sanityzacją? Jaki jest sens robienia sanityzacji skoro walidacja sprawdza poprawność składniową mail'a. Proszę o podanie kontrprzykładu.

z góry thx

Tu dodatek do pytania z manual'a PHP + to co dodał autor podczas omawiania poprawności mail'a - możliwe ze te wytyczne odpowiadają składni opisanej w RFC 822.

Answer 1

Walidacja jedynie odpowiada za poprawne sformatowanie emaila, a nie usunie z niego niedozwolonych znaków. Za to odpowiada sanityzacja.

Np. jeśli użyjesz samej walidacji email e(x)ample/@gmail.com byłby ok. Natomiast z samą sanityzacją example@gmail byłby ok. A jak widzisz oba emaile nie są poprawne.

Comments

e(x)ample/@gmail.com walidacji nie przechodzi (sprawdziłem). Więc twój kontrprzykład jest obalony.

---

Wybacz, opierałem się na definicji a sam tego nie testowałem. Możliwe, że po prostu walidacja została ulepszona i pełni teraz również rolę sanityzacji.

Answer 2

IMO. jest to przeciwko SQL Incjetion i temu podobnych.

Choć, w sumie to nie widzę w tej sytuacji sensu. Zapewne miało to zaprezentować filtry dla e-mail, czy cusik...

Może źle do tego podszedłem (Późno jest!), ale popełniłem taki kod:

<?php

$emailToValidate = "kokodzambo@gmail.com' AND email IS NULL; --";

$sanitzeEmail = filter_var($emailToValidate, FILTER_SANITIZE_EMAIL);
$validateEmail = filter_var($emailToValidate, FILTER_VALIDATE_EMAIL);

if ($validateEmail == true) {
    print 'Success!' . "\n";
} else {
    print 'Your e-mail: ' . $emailToValidate . ' is not correct!' . "\n";
}

print "Sanitazed e-mail: " . $sanitzeEmail . "\n";
print "Validated e-mail: " . $validateEmail . "\n";

Output:

Your e-mail: kokodzambo@gmail.com' AND email IS NULL; -- is not correct!
Sanitazed e-mail: kokodzambo@gmail.com'ANDemailISNULL--
Validated e-mail: 

Sanitazed przepuszcza as well.

 Obraduję za:

Zapewne miało to zaprezentować filtry dla e-mail, czy cusik..

 Albo... Mam inną teorię:

$emailToValidate = "kokodżambo@gmail.com";

$sanitzeEmail = filter_var($emailToValidate, FILTER_SANITIZE_EMAIL);
$validateEmail = filter_var($emailToValidate, FILTER_VALIDATE_EMAIL);

if ($validateEmail == true) {
    print 'Success!' . "\n";
} else {
    print 'Your e-mail: ' . $emailToValidate . ' is not correct!' . "\n";
}

print "Sanitazed e-mail: " . $sanitzeEmail . "\n";
print "Validated e-mail: " . $validateEmail . "\n";

Meh.

Your e-mail: kokodżambo@gmail.com is not correct!
Sanitazed e-mail: kokodambo@gmail.com
Validated e-mail: 

FILTER_VALIDATE_EMAIL sobie radzi. Nie mam pojęcia po co tam sanityzacja.

Ten kod jest naprawdę elegancki i do bólu logiczny.

A jednak. 

Np. jeśli użyjesz samej walidacji email e(x)ample/@gmail.com byłby ok. Natomiast z samą sanityzacją example@gmail byłby ok. A jak widzisz oba emaile nie są poprawne.

Pyknąłem w kod powyżej:

$emailToValidate = "e(x)ample/@gmail.com";

$sanitzeEmail = filter_var($emailToValidate, FILTER_SANITIZE_EMAIL);
$validateEmail = filter_var($emailToValidate, FILTER_VALIDATE_EMAIL);

if ($validateEmail == true) {
    print 'Success!' . "\n";
} else {
    print 'Your e-mail: ' . $emailToValidate . ' is not correct!' . "\n";
}

print "Sanitazed e-mail: " . $sanitzeEmail . "\n";
print "Validated e-mail: " . $validateEmail . "\n";

Output:

Your e-mail: e(x)ample/@gmail.com is not correct!
Sanitazed e-mail: example@gmail.com
Validated e-mail:  

Samo:  FILTER_VALIDATE_EMAIL znowu dało sobie radę.

Chyba, że tutaj FILTER_SANITIZE_EMAIL to taki objaw troski, gdy ktoś jednak pokosi się o te nawiasy czy inne wygibasy. 

Comments

sprawdziłem czy slash ( / ) przechodzi walidację i przechodzi. Zgadza się to z Mirka opisem dozwolonych znaków, gdzie / to dozwolony znak. Jeżeli jednak poprzedzę walidacje sanityzacją to ona okroi mi slash'a i mój mail został popsuty. Pytanie brzmi więc: Dlaczego slash (może jakiś inny symbol ale nie specjalnie dostrzegam jaki) jest w sanityzacji usuwany? Czy może on powodować jakieś luki w bezpieczeństwie? Nawet jeśli to walidacja mogłaby go uznać jako symbol niedozwolony.

Poza tym ta sanityzacja filtrem to tylko jakieś usuwanie znaków a nie jak w mysqli_escape_string(connection, string) na przykład dodawanie dodatkowego backslasha przed symbolami powodujacymi mysql injection.

Mirek wypowiedz się :p

PS. można tu dodac jakiegoś taga, żeby kogoś postymulować do odpowiedzi ?