הוסטס - פורום אחסון האתרים הגדול בישראל

עמוד 2 מתוך 3

הצג 40 הודעות באשכול על דף אחד

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - אבטחת מערכת(לא פורום) (https://hosts.co.il/forums/showthread.php?t=41840)

BlueNosE

19-03-07 20:47

ציטוט:

נכתב במקור על ידי ASTeam (פרסם 441859)

זה הקטע...שאין למשתמש שהוא לא מנהל להכניס קלט....

ואתה סומך בצורה עיוורת על המנהלים שלך, יפה.

Udi	19-03-07 20:51

כל מידע שאתה מקבל מהמשתמש, גם אם זה מנהל, צריך לעבור סינון פקדני בהתאם.
סינון לא מספיק, ישנן סוגי התקפות שאתה צריך לנקוט בצעדים אחרים כדי למנוע.

תמיד תיהיה בגישה של - מה שהמשתמש הביא לי פה זה זדוני עד יוכח אחרת באמצעות בדיקות ופונקציות שאתה תערוך.

אתה רק צריך להכיר את סוגי ההתקפות והדרכים למנוע אותן.

ASTeam

19-03-07 20:57

אוקי
בעיקרון אני מאמין שהלקוח לא יוסיף עוד מנהלים שהוא לא סומך בהם...
בכל מקרה איך אני סותם את הפרצה הזו?
עם הפקודה ההיא?
איך אני משתמש בה?
ולגבי שאר הפרצות שאמרתי?
תודה!

nevo	19-03-07 21:07

שאלה:
אם אני משתמש בhtmlspecialchars
אז אני צריך להשתמש גם ב
mysql_real_escape_string
??

BlueNosE

19-03-07 21:59

ציטוט:

נכתב במקור על ידי nevo (פרסם 441889)

שאלה:
אם אני משתמש בhtmlspecialchars
אז אני צריך להשתמש גם ב
mysql_real_escape_string
??

כעיקרון אני לא משתמש בכלל בmysql_real_escape_string, רק בhtmlspecial עם ENT_QUOTES ומחליף את התו הרגיש ` בערך הASCII שלו.

ShoQER

19-03-07 22:24

ציטוט:

נכתב במקור על ידי nevo (פרסם 441889)

שאלה:
אם אני משתמש בhtmlspecialchars
אז אני צריך להשתמש גם ב
mysql_real_escape_string
??

htmlspecialcharsנועד על מנת לסנן תגי HTML...

mysql_real_escape_string
נועד על מנת להגן מפני הזרקות SQL.

WebProject

20-03-07 08:19

ציטוט:

נכתב במקור על ידי Dr. Bleff (פרסם 441950)

htmlspecialcharsנועד על מנת לסנן תגי HTML...

mysql_real_escape_string
נועד על מנת להגן מפני הזרקות SQL.

htmlspecialchars הופך כל תו HTML לתו ASCII.. בעוד mysql_escape_string חוסם בגרשיים תווים מסוכנים כמו גרשיים וכו'.. אפשר להשתמש ב htmlspecialchara וכמו שBlueNose אמר פשוט להוסיף חסימה ידנית.. אין הרבה תווים מסוכנים :]

Udi	20-03-07 09:20

ereg_replace("'", "", $var)
גם שימושי, לא?

DevZone.co.il

20-03-07 13:34

אוקיי, אז נסכם?
שימוש בספיישל צ'ארס + אסקייפ סטרינג יספיקו על מנת לאבטח את ה-GET?

אגב, מישהו מוכן להסביר לי מה ההבדל בין:

PHP קוד:


		
			
mysql_escape_string

mysql_real_escape_string

BlueNosE

20-03-07 15:01

ציטוט:

נכתב במקור על ידי KfirSh (פרסם 442073)

אוקיי, אז נסכם?
שימוש בספיישל צ'ארס + אסקייפ סטרינג יספיקו על מנת לאבטח את ה-GET?

מה הקשר לGET? בGET אתה צריך לבדוק את הערך בצורה קפדנית, אם זה ID או מספר אחר (קטן מPHP_MAX_INT ;P ) אז לעשות לו את פונקציית הintval, ואם לא אז לבדוק אותו טוב טוב לפני שמכניסים לשאילתת בדיקה.

מה שדיברנו לפני זה.. זה על אבטחת טפסים ונתוני POST בד"כ (מי מעביר היום מידע טפסים בGET?)

כל הזמנים הם GMT +2. הזמן כעת הוא 22:22.

עמוד 2 מתוך 3

הצג 40 הודעות באשכול על דף אחד