עזרה - שימוש בפונצקיה htmlspecialchars - עמוד 2 - הוסטס

DvirCohen · 29-01-09, 21:56

כן, ברור שאפשר יותר מהגנה אחת.
לשאלתך - mysql_real_escape_string מבריח ', ככה שעדיין אפשר היה להכניס לך XSS.

בניה · 29-01-09, 23:04

כדאי מאוד להבין מה הן בעיות האבטחה וכך תוכל להבין איפה שייך להכניס איזה פונקציה,וגם לגלות סכנות נוספות.
בכללי,אם אתה רוצה למנוע הכנסת HTML, אתה משתמש בhtmlspacialchars(שזה גם לא לגמרי מאבטח בכל מצב)

ואם אתה רוצה למנוע מאנשים להחדיר לך כל מיני דברים לשאילתות שלא אמורים להיות שם אתה משתמש בmysql_escape_string או מאמת שהמידע באמת מהסוג המתאים

עריכה:
לא יצא לי להשתמש בזה, אבל
http://htmlpurifier.org/
אמור לתת לך נקיון יותר בטוח לHTML

dor77 · 30-01-09, 13:06

תודה.
תראו,
אני מכניס למסד נתונים, האופציה פתוחה לכולם, יש לי טופס שקולט את המשתנה ב POST, מכניס אותו למסד, ואז דף אחד מציג את הנתונים מהמסד.
אני רוצה שלא יוכלו להכניס html ולא יוכלו להוסיף ' כלומר לבצע sql injection.
אבל עושים sql injection רק ב get לא? כי מוסיפים ' בכתובת.
אז האם אני צריך לאבטח POSTים ב htmlspacialchars וGETים ב mysql_real_escape_string, אני צודק?
למשל id, שמוצג בכותרת אני מאבטח ב mysql_real_escape_string ואת הנתונים אני מקבל מטופס כמו העלאת מדריכים/חדשות/כל נתון אחר אז אני מעביר ב htmlspacialchars.

עשיתי פה בלאגן שלם, וההם לא עדיף כל משתנה להעיבר ב 2 הפונקציות? סתם כדי לאבטח יותר או שזה לא יעיל?

תודה.

29-01-09, 23:04	# 12
בניה משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: נחושה הודעות: 3,434	כדאי מאוד להבין מה הן בעיות האבטחה וכך תוכל להבין איפה שייך להכניס איזה פונקציה,וגם לגלות סכנות נוספות. בכללי,אם אתה רוצה למנוע הכנסת HTML, אתה משתמש בhtmlspacialchars(שזה גם לא לגמרי מאבטח בכל מצב) ואם אתה רוצה למנוע מאנשים להחדיר לך כל מיני דברים לשאילתות שלא אמורים להיות שם אתה משתמש בmysql_escape_string או מאמת שהמידע באמת מהסוג המתאים עריכה: לא יצא לי להשתמש בזה, אבל http://htmlpurifier.org/ אמור לתת לך נקיון יותר בטוח לHTML __________________ קו ישר, כי אפשר גם אחרת Last edited by בניה; 29-01-09 at 23:07..

30-01-09, 13:06	# 13
dor77 חבר וותיק מיני פרופיל תאריך הצטרפות: Jan 2008 הודעות: 1,650	תודה. תראו, אני מכניס למסד נתונים, האופציה פתוחה לכולם, יש לי טופס שקולט את המשתנה ב POST, מכניס אותו למסד, ואז דף אחד מציג את הנתונים מהמסד. אני רוצה שלא יוכלו להכניס html ולא יוכלו להוסיף ' כלומר לבצע sql injection. אבל עושים sql injection רק ב get לא? כי מוסיפים ' בכתובת. אז האם אני צריך לאבטח POSTים ב htmlspacialchars וGETים ב mysql_real_escape_string, אני צודק? למשל id, שמוצג בכותרת אני מאבטח ב mysql_real_escape_string ואת הנתונים אני מקבל מטופס כמו העלאת מדריכים/חדשות/כל נתון אחר אז אני מעביר ב htmlspacialchars. עשיתי פה בלאגן שלם, וההם לא עדיף כל משתנה להעיבר ב 2 הפונקציות? סתם כדי לאבטח יותר או שזה לא יעיל? תודה. __________________ מתכנת php אמין ומקצועי. מחירים נוחים! יצירת קשר: 0544378743


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

29-01-09, 21:56	# 11
DvirCohen חבר בקהילה מיני פרופיל תאריך הצטרפות: Dec 2007 הודעות: 151	כן, ברור שאפשר יותר מהגנה אחת. לשאלתך - mysql_real_escape_string מבריח ', ככה שעדיין אפשר היה להכניס לך XSS.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)