preg_match Hakkında

Merhaba ;
Tipik kullanıcı kayıt formumda Kulanıcı adı Kullanıcı Soyadı alanlarım var ve Türkçe karakterler dahil a-z ye tüm alfabeye izin vermek adına yine bu forumda bulduğum bu kodu kullanıyorum

$var = @$_POST['ad'];
if (!preg_match('/^[a-zA-Z0-9 ÇŞĞÜÖİçşğüöı]+$/', $var)){
echo "Uyarı";
} else {
echo "uygun karakter" ;
}

gayetde güzel çalışıyor sorum şöyle SQL inj , xss , vb...gibi bir sürü güvenlik adına
tüm kullanıcıdan gelenleri
trim , strip_tags . addslashes , htmlspecialchars gibi fonksişyonlardan geçirerek veritabanınıza kaydedin deniliyor preg_match dan sonra tüm bu zımbırtılara gerek varmı _? sonucta


a-zA-Z0-9 ÇŞĞÜÖİçşğüöı bu karakterlerle eşleşmiyor ise zaten geçişe izin vermiyor tekrar neden trimden yada tek tek hepsinden gecireyimki ?

preg_match sadece eşleşme yapar.

mesela trim boşluk siler. eğer sen bu düzenlemeyi yapmayı kabul etmeyip direk kullanıcıdan düzenlemesini istersen preg_match 'ı kullanabilirsin fakat sana önerim girilen kelimeyi uygun hale getirip database'ye yollamak. kullanıcı boşluk girdiyse ondan bunu kendisinin silmesini bekleme. kendin uygun hale getir. böylesi daha kullanışlı ve ergonomik olur. çoğu kullanıcı tırnak, boşluk falan silmeyle uğraşmaz. hazır gelen veriyi kaçırırsın.

Öncelikle yanıt için teşekkür ederim . Şu şekilde sorayım ; amacım seninde önerdiğin gibi girilen kelimeyi uygun hale getirip database'ye yollamak . ve bu önerini yapabilmek için soruyorum.
sadece eşleşme yaptığını söylediğin preg_matc ifadesi ile a-zA-Z0-9 ÇŞĞÜÖİçşğüöı bu kısımda belirtilen harf ve rakamlar ile eşlemiyor ise yani kullanıcı adında (") çift tırnak yada (') tek tırnak gibi karkaterler kullanmışsa yada bir boşluk bırakılmış ise if koşulu ile sayfada hata almasını sağlıyorum ve devam etmesini engelliyerek durduruyorum durum bu iken Kullanıcı belirtilen karakterleri giremediği halde illegal karakter denetimi gerçekleştirmek örneğin addslashes() kullanmak gerekirmi veya boşluk silmek için trim gereklimi ? zaten boşluk karakteri varsa izin verilmiyor tekrar trime yada diğer fonksiyonlardan geçirmelimiyim ?

Kullanıcı belirtilen karakterleri giremediği halde illegal karakter denetimi gerçekleştirmek örneğin addslashes() kullanmak gerekirmi?

Kullanmanda hiçbir sakınca yok, ben hiç preg_match falan kullanmamayı tercih ederim. Kullanıcı uygun karakter girse de girmese de karakter denetimi yapılmalı. aşağıdaki seçeneklerden 2.sini tercih ediyorum. daha az kod daha az karmaşa.

1. Secenek

$var = @$_POST['ad'];
if (!preg_match('/^[a-zA-Z0-9 ÇŞĞÜÖİçşğüöı]+$/', $var)){
echo "Uyarı";
//// karakter düzenlemesi yap databaseye yolla
} else {
//// karakter düzenlemesi yapmadan databaseye yolla
}


2. Secenek:

hiç preg_match kullanmadan karakter düzenlemesi(boşluk silme, tırnak önü "\" , html tag silme) yapıp yolllamak.

cok teşekkur ederim burak kolay gelsin

Verdiğiniz kodda boşluğa izin vermişsiniz. Kullanıcı kelimenin başında veya sonunda boşluk bırakabilir. Bu da gereksiz olur. Bu baştaki ve sondski boşluğu silmek için trim eklemeniz iyi olur. Ama boşluğu da engellerim derseniz trime gerek yok tabi. İkincisi de, eğer ki kodunuz tırnak gibi karakterlerin geçmesine izin vermiyorsa addslash gerekli olmaz. Ama herkes her ihtimale karşı koyuyor yine. Sistemi ne karar yorar bilmiyorum ama pek de yormaz gibi...

Teşekkürler mehmet . aslında o kod sadece kullanıcı adı için değilde daha bir genel durum için yazılımış bi kod. Yukardaki örnek kodu "Firma adı " adında bir input için kullanıyorum ve içeriği örnek olarak şöyle değerler içerebiliyor Taze&doğal Ürünler Tic. Ltd. Şti. . Bu yüzden aralarda boşluğa hatta ve hatta kodda yok ama (.) ve (&) karakterlerine izin vermem gerekiyor .
aslında Konu benim açımdan yeterince açıklayıcı ama okuyacak diğer arkadaşlara bir fikir vermesi açısından biraz detay vermek gerekirse

https://www.btkakademi.gov.tr/ adresinde ücretsiz sunulan isterseniz edevlet şifreniz ilede girebilidiğiniz portalda gerçekten gereğinden fazla detaylı bir anlatıma sahip hoş bir Php kursu var bu dersin 40.Örnek uygulamalar kısmında hoca şunu yapıyor ,

function filtrele($deger) {
$trimle = trim($deger);
$strip =strip_tags($trimle);
$addslash = addslashes($strip);
$htmls =htmlspecialchars($addslash, ENT_QUOTES,'UTF-8');
$sonuc = $htmls;
return $sonuc;

}

Not (Videolu anlatımda $addslash = addslashes($strip); kısmı yok ben ekledim )

ve bu filtrele fonksiyonunuda posttan gelen değerlerde
$gelenkullaniciad= filtrele($_POST['kullaniciad'])
şeklinde kullanıyor. Bu kadar detaya gerek varmı yokmu kararını verecek php bilgim yok ancak adamıın kodu ile kendi sade preg_match ile kontrol sağladığım kodu karşılaştırdığımda benimki biraz öğrenci menüsü gibi kaldı tüm bu konuyu o yüzden açtım..
İKİNCİ olarak
Sıkı araştırmacıyımdır bu yüzden yabancı kaynaklar nasıl yapıyor diye biraz detaya indiğimde
Yabancı kaynaklar , özellikle form değerlerini kontrol etme söz konusu olduğunda trim, strip tags , addslashes ve htmlspecialchars gibi fonksiyonlar yerine kitaba (https://www.php.net/)daha çok bağlılar ve özellikle formdaki bir input söz konusu ise
https://www.php.net/manual/en/ref.filter.php ve
https://www.php.net/manual/tr/filter.filters.php bu iki linkde bulunanları uyguluyolar.

Şimdi yazacağım tespitten emin değilim yanlış olabilir ancak yukardaki adı geçen 4 fonksiyon gibi bir kaç fonksiyon daha varki bir makale gibi bir paragraf gibi birşey söz konusu ise daha çok ara-bul-düzelt tarzı işlerde kullanıyorlar .

ek olarak eyer eski örnekleri inceliyor iseniz genelde preg_match ifadesini daha çok email kontrolu için kullanmışlar bunun yerine son bir kaç yıllık yeni örneklerde yukardaki adreste bulunan sanitize mail ve validate mail filtreleri olmazsa olmazları



Dip not : Tüm araştırmalaımda google yada youtube olsun mutalaka arama filtresine zaman sınırlamasını koyar son bir yıla ait sonuçları incelerim ..

@Yusufcoruh clean fonksiyonunu kullanmanı tavsiye ederim.



function clean($data) {
$data = str_replace(array('&','<','>'), array('&','<','>'), $data);
$data = preg_replace('/(&#*\w+)[\x00-\x20]+;/u', '$1;', $data);
$data = preg_replace('/(&#x*[0-9A-F]+);*/iu', '$1;', $data);
$data = html_entity_decode($data, ENT_COMPAT, 'UTF-8');
$data = preg_replace('#(<[^>]+?[\x00-\x20"\'])(?:on|xmlns)[^>]*+>#iu', '$1>', $data);
$data = preg_replace('#([a-z]*)[\x00-\x20]*=[\x00-\x20]*([`\'"]*)[\x00-\x20]*j[\x00-\x20]*a[\x00-\x20]*v[\x00-\x20]*a[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu', '$1=$2nojavascript...', $data);
$data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*v[\x00-\x20]*b[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu', '$1=$2novbscript...', $data);
$data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*-moz-binding[\x00-\x20]*:#u', '$1=$2nomozbinding...', $data);
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?expression[\x00-\x20]*\([^>]*+>#i', '$1>', $data);
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?behaviour[\x00-\x20]*\([^>]*+>#i', '$1>', $data);
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:*[^>]*+>#iu', '$1>', $data);
$data = preg_replace('#]*+>#i', '', $data);
do {
$old_data = $data;
$data = preg_replace('#]*+>#i', '', $data);
}
while ($old_data !== $data);
return $data;
}




$Name = clean($_POST["name"]);

echo $Name;


Çok Teşekkür ederim benim için iler seviye bir fonksiyon bu konuda kayıtlı olmasıda iyi oldu tekrar teşekkürler

Siz mantığı anlamışsınız o yeter. Gerisi ufak tefek deneyimlere kalmış. Yaptığınız kodlarda kendinizi hacker yerine koyun ve kodlarınızı o şekilde test edin. Yaptığınız kodlara tek tırnak, çift tırnak, başka karakterler koyarak çıktı almaya çalışın. Zamanla püf noktaları daha iyi anlayacaksınızdır. Şuan size söyleyeceğim tek püf nokta veritabanına veri kaydederken tırnak eklenmesine izin verecekseniz muhakkak addslashes kullanın. Basit hack olaylarında tırnakları kullanarak içeri sızmaya çalışırlar.