הוסטס - פורום אחסון האתרים הגדול בישראל - View Single Post

gillllll · 27-04-12, 14:38

באחד האתרים שאני ממיר מ ASP ל PHP - נתקלתי בבעיה הבאה, שקשרה לאבטחה -
אני מודע לכך שיש פונקציות שתפקידן תטפל בהכנסת נתונים לדטה בייס ולבדוק אם הן לא מכילות פרמטרים אסורים הפונקציה העיקרית שהבנתי שאני צריך להשתמש בה הינה:
mysql_real_escape_string

הבעיה היא כזו- למיטב הבנתי הפונקציה לא שומרת על הטקסט ומחזירה שגיאה במידה ונמצאו בו התווים הבאים: (תקנו אותי אם אני טועה)
\x00
\n
\r
\
'
"
\x1a

אבל מצד שני כן הייתי רוצה לאפשר למשתמשים להכניס \ , " , ' ... ואולי עוד פרמטרים האם אין פונקציה מוכנה , אפילו לא מובנית ב PHP שכבר מריצה והופכת ל HTML או תוים בטוחים את המחרוזת שהוכנס לה גם אם היא מחזיקה ניסיון פריצה? כלומר שומרת על הכתוב כך שבמידה ואכן נכנס משתמש תמים שהחליט לעשות איזה סמיילי שכולל /r או ' ' שהוא יוכל לעשות זאת בשקט.

תודה מראש.

27-04-12, 14:38	# 1
gillllll חבר מתקדם מיני פרופיל תאריך הצטרפות: Nov 2005 הודעות: 363	שאלת אבטחה בהכנסת נתונים באחד האתרים שאני ממיר מ ASP ל PHP - נתקלתי בבעיה הבאה, שקשרה לאבטחה - אני מודע לכך שיש פונקציות שתפקידן תטפל בהכנסת נתונים לדטה בייס ולבדוק אם הן לא מכילות פרמטרים אסורים הפונקציה העיקרית שהבנתי שאני צריך להשתמש בה הינה: mysql_real_escape_string הבעיה היא כזו- למיטב הבנתי הפונקציה לא שומרת על הטקסט ומחזירה שגיאה במידה ונמצאו בו התווים הבאים: (תקנו אותי אם אני טועה) \x00 \n \r \ ' " \x1a אבל מצד שני כן הייתי רוצה לאפשר למשתמשים להכניס \ , " , ' ... ואולי עוד פרמטרים האם אין פונקציה מוכנה , אפילו לא מובנית ב PHP שכבר מריצה והופכת ל HTML או תוים בטוחים את המחרוזת שהוכנס לה גם אם היא מחזיקה ניסיון פריצה? כלומר שומרת על הכתוב כך שבמידה ואכן נכנס משתמש תמים שהחליט לעשות איזה סמיילי שכולל /r או ' ' שהוא יוכל לעשות זאת בשקט. תודה מראש. __________________ - חייך הכל לטובה .