c97a9efe0f9294da1f5e0e9fd55f41790ef0baad
bernd input-filtering

bernd authored 17 years ago

1) <?php
Bernd Wurst Added license tags for CC0,...

Bernd Wurst authored 12 years ago

2) /*
3) This file belongs to the Webinterface of schokokeks.org Hosting
4) 
Bernd Wurst Copyright year update

Bernd Wurst authored 6 years ago

5) Written 2008-2018 by schokokeks.org Hosting, namely
Bernd Wurst Added license tags for CC0,...

Bernd Wurst authored 12 years ago

6)   Bernd Wurst <bernd@schokokeks.org>
7)   Hanno Böck <hanno@schokokeks.org>
8) 
9) To the extent possible under law, the author(s) have dedicated all copyright and related and neighboring rights to this software to the public domain worldwide. This software is distributed without any warranty.
10) 
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

11) You should have received a copy of the CC0 Public Domain Dedication along with this software. If not, see
Bernd Wurst Added license tags for CC0,...

Bernd Wurst authored 12 years ago

12) http://creativecommons.org/publicdomain/zero/1.0/
13) 
14) Nevertheless, in case you use a significant part of this code, we ask (but not require, see the license) that you keep the authors' names in place and return your changes to the public. We would be especially happy if you tell us what you're going to do with this code.
15) */
bernd input-filtering

bernd authored 17 years ago

16) 
bernd Umfangreiche Code-Aufräumar...

bernd authored 17 years ago

17) require_once('inc/error.php');
Hanno Böck replace cracklib with zxcvbn

Hanno Böck authored 8 years ago

18) require_once('vendor/autoload.php');
bernd Umfangreiche Code-Aufräumar...

bernd authored 17 years ago

19) 
bernd input-filtering

bernd authored 17 years ago

20) 
Hanno Böck replace cracklib with zxcvbn

Hanno Böck authored 8 years ago

21) function strong_password($password, $user = array())
bernd * Passwörter mit cracklib p...

bernd authored 17 years ago

22) {
Bernd Wurst support online check for pa...

Bernd Wurst authored 5 years ago

23)     $pwcheck = config('pwcheck');
24)     $result = null;
25)     if ($pwcheck) {
26)         DEBUG($pwcheck);
Bernd Wurst use POST for password checker

Bernd Wurst authored 5 years ago

27)         $req = curl_init($pwcheck);
Bernd Wurst support online check for pa...

Bernd Wurst authored 5 years ago

28)         curl_setopt($req, CURLOPT_RETURNTRANSFER, 1);
29)         curl_setopt($req, CURLOPT_SSL_VERIFYPEER, 1);
30)         curl_setopt($req, CURLOPT_SSL_VERIFYSTATUS, 1);
31)         curl_setopt($req, CURLOPT_CONNECTTIMEOUT, 5);
32)         curl_setopt($req, CURLOPT_TIMEOUT, 5);
33)         curl_setopt($req, CURLOPT_FOLLOWLOCATION, 0);
Bernd Wurst use POST for password checker

Bernd Wurst authored 5 years ago

34)         curl_setopt($req, CURLOPT_POST, 1);
35)         curl_setopt($req, CURLOPT_SAFE_UPLOAD, 1);
Hanno Böck make sure POST data is sent...

Hanno Böck authored 3 years ago

36)         curl_setopt($req, CURLOPT_POSTFIELDS, "password=".urlencode($password));
Bernd Wurst support online check for pa...

Bernd Wurst authored 5 years ago

37)         $result = chop(curl_exec($req));
38)         DEBUG($result);
39)     }
40)     if ($result === 'good') {
41)         return true;
42)     } elseif ($result === 'bad') {
Bernd Wurst better error message for we...

Bernd Wurst authored 5 years ago

43)         return "Unsere Überprüfung hat ergeben, dass dieses Passwort in bisher veröffentlichten Passwortlisten enthalten ist. Es wird daher nicht akzeptiert.";
Bernd Wurst support online check for pa...

Bernd Wurst authored 5 years ago

44)     }
Bernd Wurst use Zxcvbn as fallback in e...

Bernd Wurst authored 5 years ago

45)     // Kein Online-Check eingerichtet oder der request war nicht erfolgreich
46)     DEBUG('using Zxcvbn for password check!');
47)     $passwordchecker = new ZxcvbnPhp\Zxcvbn();
Bernd Wurst PHP 8.0 compatibility

Bernd Wurst authored 3 years ago

48)     if ($user) {
49)         $strength = $passwordchecker->passwordStrength($password, $user);
50)     } else {
51)         $strength = $passwordchecker->passwordStrength($password);
52)     }
Bernd Wurst use Zxcvbn as fallback in e...

Bernd Wurst authored 5 years ago

53)     DEBUG('password strength: '.$strength['score']);
54)     if ($strength['score'] < 2) {
55)         return "Das Passwort ist zu einfach!";
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

56)     }
57)     return true;
bernd * Passwörter mit cracklib p...

bernd authored 17 years ago

58) }
59) 
60) 
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

61) function filter_input_general($input)
bernd input-filtering

bernd authored 17 years ago

62) {
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

63)     if ($input === null) {
64)         return null;
65)     }
Bernd Wurst accept integer parameters i...

Bernd Wurst authored 5 years ago

66)     $input = (string) $input;
Bernd Wurst Umstellung von filter_input...

Bernd Wurst authored 5 years ago

67)     $filtered = preg_replace('/[\x00-\x09\x0b-\x0c\x0e-\x1f]/', '', $input);
68)     if ($filtered !== $input) {
69)         system_failure("Ihre Daten enthielten ungültige Zeichen!");
70)         logger(LOG_WARNING, 'inc/security', 'filter_input_general', 'Ungültige Daten!');
71)     }
72)     return $filtered;
bernd Umfangreiche Code-Aufräumar...

bernd authored 17 years ago

73) }
74) 
Bernd Wurst Umstellung von filter_input...

Bernd Wurst authored 5 years ago

75) function filter_input_oneline($input)
bernd Umfangreiche Code-Aufräumar...

bernd authored 17 years ago

76) {
Bernd Wurst Umstellung von filter_input...

Bernd Wurst authored 5 years ago

77)     if ($input === null) {
78)         return null;
79)     }
Bernd Wurst accept integer parameters i...

Bernd Wurst authored 5 years ago

80)     $input = (string) $input;
Bernd Wurst Umstellung von filter_input...

Bernd Wurst authored 5 years ago

81)     $filtered = preg_replace('/[\x00-\x1f]/', '', $input);
82)     if ($filtered !== $input) {
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

83)         system_failure("Ihre Daten enthielten ungültige Zeichen!");
Bernd Wurst accept integer parameters i...

Bernd Wurst authored 5 years ago

84)         logger(LOG_WARNING, 'inc/security', 'filter_input_oneline', 'Ungültige Daten!');
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

85)     }
Bernd Wurst Umstellung von filter_input...

Bernd Wurst authored 5 years ago

86)     return $filtered;
bernd input-filtering

bernd authored 17 years ago

87) }
88) 
89) 
Bernd Wurst New function filter_output_...

Bernd Wurst authored 5 years ago

90) function filter_output_html($data)
91) {
92)     return htmlspecialchars($data, ENT_QUOTES);
93) }
94) 
95) 
Bernd Wurst Umstellung von filter_input...

Bernd Wurst authored 5 years ago

96) function verify_input_ascii($data)
97) {
Bernd Wurst accept integer parameters i...

Bernd Wurst authored 5 years ago

98)     $data = (string) $data;
Bernd Wurst Umstellung von filter_input...

Bernd Wurst authored 5 years ago

99)     $filtered = filter_var($data, FILTER_UNSAFE_RAW, FILTER_FLAG_STRIP_LOW | FILTER_FLAG_STRIP_HIGH);
100)     if ($filtered != $data) {
101)         logger(LOG_WARNING, 'inc/security', 'verify_input_ascii', 'Ungültige Daten: '.$data);
102)         system_failure("Ihre Eingabe enthielt ungültige Zeichen");
103)     }
104)     return $filtered;
105) }
106) 
107) 
108) function verify_input_identifier($data)
109) {
Bernd Wurst accept integer parameters i...

Bernd Wurst authored 5 years ago

110)     $data = (string) $data;
Bernd Wurst Umstellung von filter_input...

Bernd Wurst authored 5 years ago

111)     if ($data === "") {
112)         system_failure("Leerer Bezeichner");
113)     }
114)     $filtered = preg_replace("/[^[:alnum:]\_\.\-]/", "", $data);
115)     if ($filtered !== $data) {
116)         logger(LOG_WARNING, 'inc/security', 'verify_input_identifier', 'Ungültige Daten: '.$data);
117)         system_failure("Ihre Daten enthielten ungültige Zeichen!");
118)     }
119)     return $filtered;
120) }
121) 
Bernd Wurst New function filter_output_...

Bernd Wurst authored 5 years ago

122) 
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

123) function filter_input_username($input)
bernd input-filtering

bernd authored 17 years ago

124) {
Bernd Wurst Umstellung von filter_input...

Bernd Wurst authored 5 years ago

125)     $username = preg_replace("/[^[:alnum:]\_\.\+\-]/", "", $input);
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

126)     if ($username === "") {
127)         system_failure("Leerer Benutzername!");
128)     }
129)     return $username;
hanno Hatte die Kompatibilität ge...

hanno authored 17 years ago

130) }
131) 
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

132) function verify_input_username($input)
hanno Hatte die Kompatibilität ge...

hanno authored 17 years ago

133) {
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

134)     if (filter_input_username($input) != $input) {
135)         logger(LOG_WARNING, 'inc/security', 'verify_input_username', 'Ungültige Daten: '.$input);
136)         system_failure("Ihre Daten enthielten ungültige Zeichen!");
137)     }
bernd input-filtering

bernd authored 17 years ago

138) }
139) 
bernd Umfangreiche Code-Aufräumar...

bernd authored 17 years ago

140) 
141) 
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

142) function filter_input_hostname($input, $wildcard=false)
bernd check auf hostname

bernd authored 17 years ago

143) {
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

144)     DEBUG('filter_input_hostname("'.$input.'", $wildcard='.$wildcard.')');
Hanno Spezialbehandlung für äöü n...

Hanno authored 6 years ago

145)     $input = strtolower($input);
Bernd Wurst Umstellung von filter_input...

Bernd Wurst authored 5 years ago

146)     $input = trim($input, "\t\n\r\x00 .");
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

147)     if (preg_replace("/[^.]_/", "", $input) != $input) {
148)         system_failure("Der Unterstrich ist nur als erstes Zeichen eines Hostnames erlaubt.");
149)     }
Hanno Spezialbehandlung für äöü n...

Hanno authored 6 years ago

150)     if (preg_replace("/[^[:alnum:]_*\.\-]/u", "", $input) != $input) {
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

151)         system_failure("Ihre Daten enthielten ungültige Zeichen!");
152)     }
153)     if (preg_match("/^.+\*/", $input)) {
154)         system_failure("Ihre Daten enthielten ungültige Zeichen (Wildcard-Stern muss ganz vorne stehen)!");
155)     }
156)     if (! $wildcard && preg_replace("/^\*/", "", $input) != $input) {
157)         system_failure("Ihre Daten enthielten ungültige Zeichen (Keine Wildcards erlaubt)!");
158)     }
159)     if (strstr($input, '..')) {
160)         system_failure("Ungültiger Hostname");
161)     }
162)     return $input;
bernd check auf hostname

bernd authored 17 years ago

163) }
164) 
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

165) function verify_input_hostname($input, $wildcard=false)
bernd Add IP-address patterns

bernd authored 16 years ago

166) {
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

167)     if (filter_input_hostname($input, $wildcard) != $input) {
168)         logger(LOG_WARNING, 'inc/security', 'verify_input_hostname', 'Ungültige Daten: '.$input);
169)         system_failure("Ihre Daten enthielten ungültige Zeichen!");
170)     }
bernd Add IP-address patterns

bernd authored 16 years ago

171) }
172) 
173) 
Hanno Böck vhost-hostnamen vernünftig...

Hanno Böck authored 6 years ago

174) function verify_input_hostname_utf8($input)
175) {
176)     $puny = idn_to_ascii($input, IDNA_DEFAULT, INTL_IDNA_VARIANT_UTS46);
177)     if ($puny === false) {
178)         system_failure("Ungültiger Hostname! idn ".$input);
179)     }
180)     $filter = filter_var($puny, FILTER_VALIDATE_DOMAIN, FILTER_FLAG_HOSTNAME);
Bernd Wurst Umstellung von filter_input...

Bernd Wurst authored 5 years ago

181)     if ($filter !== $puny) {
Hanno Böck vhost-hostnamen vernünftig...

Hanno Böck authored 6 years ago

182)         system_failure("Ungültiger Hostname! filter ".$input);
183)     }
184) }
185) 
186) 
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

187) function verify_input_ipv4($input)
bernd Add IP-address patterns

bernd authored 16 years ago

188) {
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

189)     if (! preg_match("/^([1-9]|[1-9][0-9]|1[0-9][0-9]|2[0-4][0-9]|25[0-5])(\.([0-9]|[1-9][0-9]|1[0-9][0-9]|2[0-4][0-9]|25[0-5])){3}$/", $input)) {
190)         system_failure('Keine IP-Adresse');
191)     }
bernd Add IP-address patterns

bernd authored 16 years ago

192) }
193) 
194) 
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

195) function verify_input_ipv6($input)
bernd Add IP-address patterns

bernd authored 16 years ago

196) {
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

197)     // ripped from Perl module Net-IPv6Addr v0.2
198)     if (! preg_match("/^(([0-9a-f]{1,4}:){7}[0-9a-f]{1,4}|[0-9a-f]{0,4}::|:(?::[a-f0-9]{1,4}){1,6}|(?:[a-f0-9]{1,4}:){1,6}:|(?:[a-f0-9]{1,4}:)(?::[a-f0-9]{1,4}){1,6}|(?:[a-f0-9]{1,4}:){2}(?::[a-f0-9]{1,4}){1,5}|(?:[a-f0-9]{1,4}:){3}(?::[a-f0-9]{1,4}){1,4}|(?:[a-f0-9]{1,4}:){4}(?::[a-f0-9]{1,4}){1,3}|(?:[a-f0-9]{1,4}:){5}(?::[a-f0-9]{1,4}){1,2}|(?:[a-f0-9]{1,4}:){6}(?::[a-f0-9]{1,4}))$/i", $input)) {
199)         system_failure("Ungültige IPv6-Adresse");
200)     }
bernd Add IP-address patterns

bernd authored 16 years ago

201) }
bernd Umfangreiche Code-Aufräumar...

bernd authored 17 years ago

202) 
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

203) function verify_input_recorddata($input)
Hanno Böck Prüfe DNS-Records auf probl...

Hanno Böck authored 7 years ago

204) {
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

205)     if (strstr($input, "\\") || strstr($input, '"')) {
206)         system_failure("Ungültige Zeichen");
207)     }
Hanno Böck Prüfe DNS-Records auf probl...

Hanno Böck authored 7 years ago

208) }
bernd Umfangreiche Code-Aufräumar...

bernd authored 17 years ago

209) 
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

210) function filter_quotes($input)
bernd Im Passwort dürfen auch kei...

bernd authored 17 years ago

211) {
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

212)     return preg_replace('/["\'`]/', '', $input);
bernd Im Passwort dürfen auch kei...

bernd authored 17 years ago

213) }
214) 
bernd Umfangreiche Code-Aufräumar...

bernd authored 17 years ago

215) 
216) 
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

217) function filter_shell($input)
bernd Diverse shell-kritische zei...

bernd authored 17 years ago

218) {
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

219)     return preg_replace('/[^-[:alnum:]\_\.\+ßäöüÄÖÜ/%§=]/', '', $input);
bernd Umfangreiche Code-Aufräumar...

bernd authored 17 years ago

220) }
221) 
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

222) function verify_shell($input)
bernd Umfangreiche Code-Aufräumar...

bernd authored 17 years ago

223) {
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

224)     if (filter_shell($input) != $input) {
225)         system_failure("Ihre Daten enthielten ungültige Zeichen!");
226)     }
bernd Diverse shell-kritische zei...

bernd authored 17 years ago

227) }
bernd input-filtering

bernd authored 17 years ago

228) 
bernd Umfangreiche Code-Aufräumar...

bernd authored 17 years ago

229) 
Hanno Böck validiere SSH-Keys korrekt

Hanno Böck authored 7 years ago

230) function filter_ssh_key($key)
231) {
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

232)     $keyparts = explode(" ", trim($key));
Hanno Böck validiere SSH-Keys korrekt

Hanno Böck authored 7 years ago

233) 
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

234)     if ((count($keyparts) > 3) || (count($keyparts) < 2)) {
235)         system_failure("Ungültiger SSH-Key!");
236)     }
Hanno Böck validiere SSH-Keys korrekt

Hanno Böck authored 7 years ago

237) 
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

238)     if (preg_match("/^[a-z0-9]+-[a-z0-9-]+$/", $keyparts[0]) === 0) {
239)         system_failure("Ungültiger SSH-Key!");
240)     }
Hanno Böck validiere SSH-Keys korrekt

Hanno Böck authored 7 years ago

241) 
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

242)     if (base64_decode($keyparts[1], 1) == false) {
243)         system_failure("Ungültiger SSH-Key!");
244)     }
Hanno Böck validiere SSH-Keys korrekt

Hanno Böck authored 7 years ago

245) 
Hanno Böck fix regular expression (was...

Hanno Böck authored 3 years ago

246)     if ((count($keyparts) === 3) && (preg_match("/^[a-zA-Z0-9@._-]+$/", $keyparts[2]) === 0)) {
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

247)         system_failure("Ungültige Zeichen im Kommentar des SSH-Keys!");
248)     }
Hanno Böck validiere SSH-Keys korrekt

Hanno Böck authored 7 years ago

249) 
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

250)     if (count($keyparts) === 2) {
251)         return $keyparts[0]." ".$keyparts[1];
252)     } else {
253)         return $keyparts[0]." ".$keyparts[1]." ".$keyparts[2];
254)     }
Hanno Böck validiere SSH-Keys korrekt

Hanno Böck authored 7 years ago

255) }
256) 
bernd Umfangreiche Code-Aufräumar...

bernd authored 17 years ago

257) 
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

258) function check_path($input)
bernd XSS/CSRF-Bugs behoben

bernd authored 17 years ago

259) {
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

260)     DEBUG("checking {$input} for valid path name");
Bernd Wurst New function filter_output_...

Bernd Wurst authored 5 years ago

261)     if ($input != filter_output_html($input)) {
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

262)         logger(LOG_WARNING, 'inc/security', 'check_path', 'HTML-Krams im Pfad: '.$input);
263)         DEBUG("HTML-Krams im Pfad");
264)         return false;
265)     }
266)     $components = explode("/", $input);
267)     foreach ($components as $item) {
268)         if ($item == '..') {
269)             logger(LOG_WARNING, 'inc/security', 'check_path', '»..« im Pfad: '.$input);
270)             DEBUG("»..« im Pfad");
271)             return false;
272)         }
Hanno prevent breaking kvhostcrea...

Hanno authored 6 years ago

273)         if (strlen($item) > 255) {
274)             return false;
275)         }
276)     }
277)     if (strlen($input) > 2048) {
278)         return false;
bernd XSS/CSRF-Bugs behoben

bernd authored 17 years ago

279)     }
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

280)     return (preg_match('/^[ A-Za-z0-9.@\/_-]*$/', $input) == 1);
bernd XSS/CSRF-Bugs behoben

bernd authored 17 years ago

281) }
282) 
283) 
bernd * alle internen Links sinnv...

bernd authored 15 years ago

284) function in_homedir($path)
285) {
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

286)     DEBUG("Prüfe »{$path}«");
287)     if (! check_path($path)) {
288)         DEBUG('Kein Pfad');
289)         return false;
290)     }
291)     if (! isset($_SESSION['userinfo']['homedir'])) {
292)         DEBUG("Kann homedir nicht ermitteln");
293)         return false;
294)     }
Bernd Wurst Syntaxfehler

Bernd Wurst authored 6 years ago

295)     return strncmp($_SESSION['userinfo']['homedir'], $path, strlen($_SESSION['userinfo']['homedir'])) == 0;
bernd * alle internen Links sinnv...

bernd authored 15 years ago

296) }
297) 
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

298) function check_date($input)
Bernd Wurst Erste Version des SEPA-Mand...

Bernd Wurst authored 10 years ago

299) {
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

300)     return (bool) preg_match("/[0-9]{4}-(0?[1-9]|10|11|12)-([012]?[0-9]|30|31)/", $input);
Bernd Wurst Erste Version des SEPA-Mand...

Bernd Wurst authored 10 years ago

301) }
302) 
bernd * alle internen Links sinnv...

bernd authored 15 years ago

303) 
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

304) function check_emailaddr($input)
bernd Neues Modul für "Kunde werden"

bernd authored 17 years ago

305) {
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

306)     return (bool) filter_var($input, FILTER_VALIDATE_EMAIL) == $input;
bernd don't be too complicated. /...

bernd authored 16 years ago

307) }
308) 
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

309) function check_domain($input)
bernd don't be too complicated. /...

bernd authored 16 years ago

310) {
Hanno Fix coding style with php-c...

Hanno authored 6 years ago

311)     return (bool) preg_match("/^[a-z0-9\.\-]+\.[a-z\-]{2,63}$/i", $input);
bernd Neues Modul für "Kunde werden"

bernd authored 17 years ago

312) }