הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   הדרך הבטוחה ביותר לסנן הזרקות (https://hosts.co.il/forums/showthread.php?t=35214)

Eli-Hai 24-11-06 20:55
הדרך הבטוחה ביותר לסנן הזרקות
 
אהלן, אני מנסה לקחת נתונים מ-$_POST ו-$_GET ולסנן אותם עד כמה שאפשר, אני מסנן עם strip_tags, כמה טובים הסיכויים להזרקות SQL אחרי סינון ב-strip_tags?

-VladK- 24-11-06 22:42
אני אישית לא מכיר את הפונקציה....תנסה את:
mysql_real_escape_string()

היא מעולה בשביל זה...

sUP 25-11-06 02:43
strip_tags לא אמור לסנן הזרקות,
הוא רק מסנן תגי HTML.

הפונקציה ש Pileman הביא לך זה אמור לסנן את ההזרקות..

RS324 25-11-06 02:45
ניסיתם לעבוד איתה כשאתם מציגים את המידע ב TEXTAREA ו INPUT ?

מהניסיון שלי אחת הדרכים היותר טובות למנוע הזרקות היא פשוט להפוך את כל התווים הבעייתים לקוד ASCII

-VladK- 25-11-06 11:40
השם הוא Pilmen !!!!!!!!!!!!!!!!!!!!!!!!!!!

ו....אהההם כן ניסיתי...מה הבעיה בדיוק עם ההצגה?
נכון שASCII יותר טוב אבל זה קצת מעצבן לעבור תו תו בעיתי =/

RS324 25-11-06 13:53
ציטוט:
נכתב במקור על ידי Pilmen (פרסם 379537)
השם הוא Pilmen !!!!!!!!!!!!!!!!!!!!!!!!!!!

ו....אהההם כן ניסיתי...מה הבעיה בדיוק עם ההצגה?
נכון שASCII יותר טוב אבל זה קצת מעצבן לעבור תו תו בעיתי =/
תעשה ניסויים ותראה...ופשוט מאד אתה עושה פונקציה ומפעיל אותו באופן גלובלי על POST ו GET וממיר לפני ההכנסה למסד.

Oleg 25-11-06 16:36
ציטוט:
function sanitize($input)
{
if(get_magic_quotes_gpc())
{
$input = stripslashes($input);
}
return(mysql_real_escape_string($input));
}
mysql_real_string דורשת חיבור פעיל למסד... אז תקראו לה רק בין mysql_connect
וmysql_close

Alon.R 25-11-06 18:33
למה לקחת רק פונקציה אחת?

כמו שאמרו, הפונקציה סטריפ טאקס היא רק להתייחס לתגים האלה כטקסט ולא כתגיות HTML בפלט..

תשים סטריפ טאקס וגם mysql_real_escape_string ועוד מסננים, בכלל אפשר לקבץ הכל בפונקציה אחת שלך..

נריה 26-11-06 00:22
נגיד אתה יודע שאתה רוצה לקבל רק מספרים
PHP קוד:
$id = (int) $_GET['id']; 
סינון קטן וטוב לבדוק רק למספרים
וכמובן אם אתה רוצה שיהיה לך תווים זה מסנן תוי HTML
PHP קוד:
$page htmlspecialchars($_GET['page']); 

Eli-Hai 27-11-06 20:02
htmlspecialchars משאיר את תגי ה-HTML במצב לא פעיל, עדיף לסנן אותם.
אני יודע בדיוק מה עושה strip_tags(), ולכן שאלתי אם זה מצריך עוד שיטה של סינון הזרקות, חוץ מהזרקות שונות בHTML.


כל הזמנים הם GMT +2. הזמן כעת הוא 20:28.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ