הדרך הבטוחה ביותר לסנן הזרקות - הוסטס

Eli-Hai · 24-11-06, 20:55

אהלן, אני מנסה לקחת נתונים מ-$_POST ו-$_GET ולסנן אותם עד כמה שאפשר, אני מסנן עם strip_tags, כמה טובים הסיכויים להזרקות SQL אחרי סינון ב-strip_tags?

-VladK- · 24-11-06, 22:42

אני אישית לא מכיר את הפונקציה....תנסה את:
mysql_real_escape_string()

היא מעולה בשביל זה...

sUP · 25-11-06, 02:43

strip_tags לא אמור לסנן הזרקות,
הוא רק מסנן תגי HTML.

הפונקציה ש Pileman הביא לך זה אמור לסנן את ההזרקות..

RS324 · 25-11-06, 02:45

ניסיתם לעבוד איתה כשאתם מציגים את המידע ב TEXTAREA ו INPUT ?

מהניסיון שלי אחת הדרכים היותר טובות למנוע הזרקות היא פשוט להפוך את כל התווים הבעייתים לקוד ASCII

-VladK- · 25-11-06, 11:40

השם הוא Pilmen !!!!!!!!!!!!!!!!!!!!!!!!!!!

ו....אהההם כן ניסיתי...מה הבעיה בדיוק עם ההצגה?
נכון שASCII יותר טוב אבל זה קצת מעצבן לעבור תו תו בעיתי =/

RS324 · 25-11-06, 13:53

ציטוט:

נכתב במקור על ידי Pilmen

השם הוא Pilmen !!!!!!!!!!!!!!!!!!!!!!!!!!!

ו....אהההם כן ניסיתי...מה הבעיה בדיוק עם ההצגה?
נכון שASCII יותר טוב אבל זה קצת מעצבן לעבור תו תו בעיתי =/

תעשה ניסויים ותראה...ופשוט מאד אתה עושה פונקציה ומפעיל אותו באופן גלובלי על POST ו GET וממיר לפני ההכנסה למסד.

Oleg · 25-11-06, 16:36

ציטוט:

function sanitize($input)
{
if(get_magic_quotes_gpc())
{
$input = stripslashes($input);
}
return(mysql_real_escape_string($input));
}

mysql_real_string דורשת חיבור פעיל למסד... אז תקראו לה רק בין mysql_connect
וmysql_close

Alon.R · 25-11-06, 18:33

למה לקחת רק פונקציה אחת?

כמו שאמרו, הפונקציה סטריפ טאקס היא רק להתייחס לתגים האלה כטקסט ולא כתגיות HTML בפלט..

תשים סטריפ טאקס וגם mysql_real_escape_string ועוד מסננים, בכלל אפשר לקבץ הכל בפונקציה אחת שלך..

נריה · 26-11-06, 00:22

נגיד אתה יודע שאתה רוצה לקבל רק מספרים

PHP קוד:


			
$id = (int) $_GET['id'];

סינון קטן וטוב לבדוק רק למספרים
וכמובן אם אתה רוצה שיהיה לך תווים זה מסנן תוי HTML

PHP קוד:


			
$page = htmlspecialchars($_GET['page']);

Eli-Hai · 27-11-06, 20:02

htmlspecialchars משאיר את תגי ה-HTML במצב לא פעיל, עדיף לסנן אותם.
אני יודע בדיוק מה עושה strip_tags(), ולכן שאלתי אם זה מצריך עוד שיטה של סינון הזרקות, חוץ מהזרקות שונות בHTML.

24-11-06, 20:55	# 1
Eli-Hai משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 2,758	הדרך הבטוחה ביותר לסנן הזרקות אהלן, אני מנסה לקחת נתונים מ-$_POST ו-$_GET ולסנן אותם עד כמה שאפשר, אני מסנן עם strip_tags, כמה טובים הסיכויים להזרקות SQL אחרי סינון ב-strip_tags?

25-11-06, 02:43	# 3
sUP משתמש תחת חוזה ניסיון. מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: אזור חיפה הודעות: 1,948	strip_tags לא אמור לסנן הזרקות, הוא רק מסנן תגי HTML. הפונקציה ש Pileman הביא לך זה אמור לסנן את ההזרקות.. __________________ לפרטים נוספים dani3l@gmail.com (אימייל)

26-11-06, 00:22	# 9
נריה הוסטסניון מיני פרופיל תאריך הצטרפות: Nov 2005 מיקום: מרכז גיל: 34 הודעות: 2,122	נגיד אתה יודע שאתה רוצה לקבל רק מספרים PHP קוד: `$id = (int) $_GET['id'];` סינון קטן וטוב לבדוק רק למספרים וכמובן אם אתה רוצה שיהיה לך תווים זה מסנן תוי HTML PHP קוד: `$page = htmlspecialchars($_GET['page']);`


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

24-11-06, 22:42	# 2
-VladK- הוסטסניון מיני פרופיל תאריך הצטרפות: Apr 2006 גיל: 34 הודעות: 2,182	אני אישית לא מכיר את הפונקציה....תנסה את: mysql_real_escape_string() היא מעולה בשביל זה...

25-11-06, 02:45	# 4
RS324 תודה על תרומתך. מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 3,173	ניסיתם לעבוד איתה כשאתם מציגים את המידע ב TEXTAREA ו INPUT ? מהניסיון שלי אחת הדרכים היותר טובות למנוע הזרקות היא פשוט להפוך את כל התווים הבעייתים לקוד ASCII

25-11-06, 11:40	# 5
-VladK- הוסטסניון מיני פרופיל תאריך הצטרפות: Apr 2006 גיל: 34 הודעות: 2,182	השם הוא Pilmen !!!!!!!!!!!!!!!!!!!!!!!!!!! ו....אהההם כן ניסיתי...מה הבעיה בדיוק עם ההצגה? נכון שASCII יותר טוב אבל זה קצת מעצבן לעבור תו תו בעיתי =/

25-11-06, 18:33	# 8
Alon.R הוסטסניון מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 2,435	למה לקחת רק פונקציה אחת? כמו שאמרו, הפונקציה סטריפ טאקס היא רק להתייחס לתגים האלה כטקסט ולא כתגיות HTML בפלט.. תשים סטריפ טאקס וגם mysql_real_escape_string ועוד מסננים, בכלל אפשר לקבץ הכל בפונקציה אחת שלך..

27-11-06, 20:02	# 10
Eli-Hai משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 2,758	htmlspecialchars משאיר את תגי ה-HTML במצב לא פעיל, עדיף לסנן אותם. אני יודע בדיוק מה עושה strip_tags(), ולכן שאלתי אם זה מצריך עוד שיטה של סינון הזרקות, חוץ מהזרקות שונות בHTML.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)