הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - SQL הזרקות בGET (https://hosts.co.il/forums/showthread.php?t=53060)

ddd789

30-08-07 22:50

SQL הזרקות בGET

שלום אני רוצה לדעת איך אני יוכל לחסום את הזרקות בGET שבאמת צריכים לחסום
לא לחסום :מילים סתם מילים בבקשה איך אני עושה את זה?<

HagaiA

30-08-07 23:01

ביטויים רגולרים =]

ddd789

30-08-07 23:02

חח זה לא ממש עוזר לי איפה ניתן למצוא מידע נוסף ?

Elad-A

30-08-07 23:12

מה אתה רוצה לחסום בדיוק?
שלא יכניסו קודים של HTML לשאילתה שלך?
אם כן, אתה יכול להשתמש ב mysql_escape_string / stripslashes / addslashes / htmlspecialchars

****
תשתמש במה שאתה צריך מהם..

ddd789

30-08-07 23:25

אמרתי הזרקות SQL INJ בGET בכתובת

psycho

30-08-07 23:48

PHP קוד:


		
			
<?php

foreach($_GET as $key=>$value)

   $$key=strip_tags(mysql_real_escape_string($value));



// Bla bla my code

?>

מינימלי ביותר

שקד	31-08-07 20:34

אני אנסה לנסח את זה בצורה יותר ברורה כך שיהיה קל יותר להבין את הפיתרון לשאלתך.
יש מספר פונקציות שימושיות למיקרים האלה, פונקציה "שהורסת" כל שורה שבעצם פונה למסד נתונים, חסימת תגים ב-HTML ופונקציה שבעצם ניתן ליצור איתה סינון בכך שאתה הופך ביטוי אחת לביטוי אחר. שאלתך לא בדיוק ממוקדת ספציפית על אחת מהן לכן אני לא ירחיב על הכל, אבל כפי שאתה יכול לראות הודעה מעלי, גיא כבר ציפר אותך בסקריפט קטן שממכיש את אופן הפעולה.

במידה ותירצה ליקרוא עוד על אתה תמיד יכול להסתכל על הפונקציות עצמם:
strip_tags
mysql_real_escape_string

בהצלחה :)

Cream

31-08-07 21:00

יש לי שאלה...בקשר, מתי אני משתמש בזה? באיזה מקרה צריך לעשות את זה?
זה מין מנגנון אבטחה לא?

שקד	31-08-07 21:04

ציטוט:

נכתב במקור על ידי Cream (פרסם 550901)

יש לי שאלה...בקשר, מתי אני משתמש בזה? באיזה מקרה צריך לעשות את זה?
זה מין מנגנון אבטחה לא?

אפשר ליקרוא לזה אבטחה, בעזרות הפונקציות השימושיות האלה מונעות פקודות אל תוך המסד נתונים ואל הדף עצמו (שבוא אתה שולף את אותו ערך).
אפשר להגיד שבעצם בלי האבטחה הזאות אפשר למחוק את כל המסד נתונים.

Cream

31-08-07 22:33

ציטוט:

נכתב במקור על ידי שקד (פרסם 550902)

אוקיי תודה על המידע..החשוב הזה! טוב לדעת דברים חדשים :)

-roee-

01-09-07 00:27

ממליץ לך לכתוב פונקציה שרק דרכה אתה תקבל את המשתני POST/GET וככה תוכל לשלוט בקלות על כל המשתנים שאתה מקבל.

Daniel

01-09-07 18:31

טעות נפוצה שרוב האלה שקוראים לעצמם "מאבטחים" היא כזאת.
אם מופיע "SELECT"(רק דוגמה) ב- POST או ב-COOKIE, אז המשתמש מקבל באן/הדף לא נטען.

אל תעשה את הטעות הזאת!

כי אם המשתמש שולח תגובה עם זה?
או שככה שם המשתמש שלו?

תעשה כל על המידע שאתה מקבל מהמשתמש mysql_real_escape_string ו-htmlspecialchars ותיהיה מסודר.

אל תשתמש ב-striptags-כי זה בעצם מוחק-ואם המשתמש יכתוב "<text>" זה ימחק. במקום זה תשתמש ב- mysql_real_escape_string ו-htmlspecialchars ותיהיה מסודר.

כל הזמנים הם GMT +2. הזמן כעת הוא 17:26.