[SOLUCIONADO] Signo de pesos contenido en una variable

Hyemin · #1 (**permalink**) 15/12/2014, 06:40

Hola como estan?

Hice una aplicacion que recoge datos de los usuarios y luego los pasa a un fichero.

La aplicacion le pide datos mediante un form y la pasa a una pagina que las procesa mediante sesiones

//codigo
$_SESSION["pass1"] = "$pass1";

Cuando el texto que el usuario escribe contiene un signo de $ la variable queda vacia, si pone cualquier otro caracter o conjunto de caracteres la aplicacion funciona perfectamente

Alguna idea de como hacer que tome el contenido como "texto puro"?

NSD · #2 (**permalink**) 15/12/2014, 08:48

http://php.net/manual/es/language.ty....syntax.single

Hyemin · #3 (**permalink**) 15/12/2014, 10:23

Gracias por tu respuesta, estuve viendo el link pero el problema es que no se cual es la posicion donde va a estar el signo de $ dentro de la variable por lo que no puedo escaparlo y tampoco puedo poner '$variable' ya que necesito referenciar a la misma como una variable.

EL problema es que la variable $password puede contener mipass$2014 y al pasarla me corta el signo y queda solo "mipass"

No se si me explico

NSD · #4 (**permalink**) 15/12/2014, 10:43

La interpolacion solo se hace de forma explicita.
El problema sin duda esta en otra parte de tu codigo o en la forma que realizas la tarea.

Código PHP:

Ver original$a = 'texto con $signo pesos';
$b = "$a";
echo $b; // texto con $signo pesos

Publica todo el codigo involucrado si quieres obtener mas ayuda.

Hyemin · #5 (**permalink**) 16/12/2014, 08:11

Te comento como es el proceso que hago

1) Le pido al usuario en la pagina index.php los datos en un formulario y los paso por POST a pre_proceso.php

2) En pre_proceso.php hago lo siguientes

<?php
$usuario1 = $_POST['usuario1'];
$pass1 = $_POST['pass1'];
session_start();
$_SESSION["usuario1"] = "$usuario1";
$_SESSION["pass1"] = "$pass1";

Inicio sesion y guardo los valores en la variable ya que esta pagina es unicamente un puente a la verdera pagina que hara el trabajo llamada procesar.php

3) En procesar.php hago lo siguientes

session_start ();
$usuario1 = $_SESSION["usuario1"];
$pass1 = $_SESSION["pass1"];

//Generamos el fichero usuario.txt donde almacenaremos provisoriamente los datos
$texto = shell_exec("echo $usuario1 $pass1 $usuario1.txt");

Cuando voy a leer usuario1.txt siempre se corta el valor en el signo de $ este al principio o al medio, es decir, si en el formulario puse peter$parker solo vere “peter” en el fichero de texto

NSD · #6 (**permalink**) 16/12/2014, 10:51

Eso es para algún experimento tuyo y no para algo que valla a ser puesto en producción verdad?

¿Que pasaria si en el formulario alguien pusiera rm -rf directorio? te borraría un directorio del disco!

O peor aun, podría crearse un usuario nuevo o cualquier cosa!

Eso es totalmente inseguro y peligroso!

NUNCA o salvo condiciones muy particulares, debes enviar datos provenientes del usuario a la consola, y solo debe hacerse si no hay ninguna otra vía posible para resolverlo.

Llegado el caso, los argumentos deben ser debidamente escapados con escapeshellarg y escapeshellcmd.

No entiendo el porque de una pagina puente, no tiene sentido, tampoco es necesario usar la shell para guardar datos en un archivo, tampoco es necesario entrecomillar las variables para que sean interpoladas si no les vas a anexar ningún contenido.

Ademas tienes varios problemas adicionales.

Código PHP:

Ver original<?php
   /*/
    * Esta tecnica de extraer las variables, carece de sentido.
    * Se usaba cuando $_POST se llamada $HTTP_POST_VARS, con lo cual, para ahorrar espacio se ponia:
    * $post_variable = $HTTP_POST_VARS["variable"];
    * Ahora ya no hace falta.
    * Ademas de que debes validar cada entrada del usuario, minimamente, hay que verificar su existencia.
   /*/
   $usuario1 = $_POST['usuario1'];
   $pass1 = $_POST['pass1'];
   
   /*/
    * session_start debe ser la primer linea del archivo si o si, eventualmente, puede no serlo,
    * pero en tal caso, debes estar 100% seguro que antes de que se llame, no se halla producido 
    * ninguna salida al navegador.
    * Si $_POST['usuario1'] o $_POST['pass1'] no estubiera definida, php arrojaria un notice, con lo cual 
    * no se podria iniciar la session. Una cadena de errores por un simple detalle.
   /*/
   session_start();
   
   /*/
    * No hay razon para interpolar, esta tecnica solo se usa para anexar contenido de forma comoda
    * tu no estas anexando nada, no tiene sentido.
   /*/
   $_SESSION["usuario1"] = "$usuario1";
   $_SESSION["pass1"] = "$pass1";
 
    /*/ 
     * "Inicio sesion y guardo los valores en la variable ya que esta pagina es unicamente un puente a la verdera pagina que hara el trabajo llamada procesar.php"
     * ¿Que sentido tiene un script puente que realiza una copia de variables?
    /*/
 
    session_start ();
    /*/
     * Lo mismo que antes, no validas nada, ni siquiera la existencia.
     * Tampoco tiene sentido copiar la variable.
    /*/
    $usuario1 = $_SESSION["usuario1"];
    $pass1 = $_SESSION["pass1"];
 
    /*/
     * "Generamos el fichero usuario.txt donde almacenaremos provisoriamente los datos"
     * ¿Esta es la mejor forma que se te ocurrio para guardar un texto en un archivo?
     * Ademas estas metiendo variables que vienen de un formulario directamente en la consola! eso es muy peligroso!
     * Tambien es peligroso crear archivos con el nombre de una variable introducida por el usuario.
     * ¿Porque provisoriamente? No me digas que este es otro script puente que guarda los datos aca para que otro venga los lea y los borre.
     * Si no pones seguridad de lectura sobre el directorio, cualquiera podria entrar y obtener la clave solo sabiendo el nombre de usuario.
    /*/
    $texto = shell_exec("echo $usuario1 $pass1 $usuario1.txt");

La forma correcta seria tener UN SOLO archivo para procesar el formulario, con algo asi:

Código PHP:

Ver original<?php
    /*/
     * Aca agregar validaciones que no arrojen ninguna salida al navegador ni generen errores.
    /*/
    if(empty($_POST["usuario1"]) || empty($_POST["pass1"]))
    {
        die("datos invalidos");
    }
 
    session_start();
    $_SESSION["usuario1"] = $_POST["usuario1"];
    $_SESSION["pass1"] = $_POST["pass1"];
    
    file_put_contents(md5("algo_secreto".$_SESSION["usuario1"]).".txt", "$_SESSION[usuario1] $_SESSION[pass1]");

Hyemin · #7 (**permalink**) 16/12/2014, 11:04

Gracias por tu respuesta, fue muy esclarecedora

Te comento por que hago las cosas que hago, el comando en cuestion no es el que te escribi, el comando es un script que hace otra cosa.

El problema es que esa otra cosa demora cerca de 2 horas por usuario, si pongo el proceso en un solo formulario corro el peligo de que el usuario crea que la pagina se colgo y no hizo nada y vuelva a tirar el boton submit.

La pagina del form recoge los datos y los pasa a la pagina puente deonde le digo al usuario que todo va a estar bien y que el proceso va a demorar horas y que deje la ventana abierta. mientras se preocesa eso el usuario no va a volver a apretar el boton.

Si en el formulario alguien poner rm- f directorio u otro comando no pasa nada ya que el script que recibe ese parametro da un error. el scrip espera recibir un usuario y contraseña, si en el campo contraseña pongo un comando no hace nada.

Gracias nuevamente por tu respuesta, la voy a estar probando ahora en la aplicacion y tec uento como me va

NSD · #8 (**permalink**) 16/12/2014, 11:31

Cita:

Si en el formulario alguien poner rm- f directorio u otro comando no pasa nada ya que el script que recibe ese parametro da un error. el scrip espera recibir un usuario y contraseña, si en el campo contraseña pongo un comando no hace nada.

El problema no es lo que el script espera sino lo que la shell interpreta.
Con el texto correcto, se podría hacer que tu script nunca se ejecutara y en su lugar disparar otro comando, solo es cuestión de armar la sintaxis correctamente para que eso ocurra.

Este tipo de ataques se llama shell-injection y es de los mas peligrosos. Con una linea de código pueden literalmente vaciarte el servidor y hacerte perder todo.

Tu has lo que quieras, estas avisado.

Hyemin · #9 (**permalink**) 16/12/2014, 11:37

Me exprese incorrectamente,

Lo que me dices de scapeshellarg y cmd son dos consejos super valiosos que voy a estar poniendo en practica ahora mismo por que como bien dices, son agujeros de seguridad importantes.

Hasta que no me lo dijiste no me habia dado cuenta de que se podia hacer.

Estoy estduiando como escapar "|" y otros en eso y cuando termine te cuento como me fue

Muchas gracias por toda tu ayuda

EDIT: Con scapeshellcmd solucione ambos problemas, el problema de que no me pongan comandos en los argumentos como |rm fichero.txt y tam bien el signo de $

Gracias nuevamente