ציטוט:
נכתב במקור על ידי Shay Falador
כבוד על ההשקעה אבל הקודים שלך ממש לא חכמים...
PHP קוד:
$formString = strip_tags(htmlspecialchars($_POST['string']));
גם מוחק וגם הופך תגים לתוויות מתאימות. צריך רק אחד מהם (אני אישית בעל htmlspecialchars).
PHP קוד:
$intValue = is_numeric($_GET['id']) && intval($_GET['id']) > 0 ? $_GET['id'] : die("Invalid id value");
נתחיל מזה שהפונקציה intval לא ממש יעילה ופה גם מיותרת אם אתה כבר יודע שהמשתנה הוא נומרי. הפתרון החכם הוא או להמיר לint ואז לוודא שהמספר אכן קיים בDB או להשתמש בescaping או משהו בסגנון.
PHP קוד:
$value = strip_tags(htmlspecialchars(mysql_real_esace_string($_GET['string'])));
אותו סיפור כמו קודם... |
תמיד הייתי גם משתמש רק בhtmlspecialchars אני כמעט ולא נוגע בstrip_tags התחלתי לעשות שימוש בגלל AJAX.
ציטוט:
נכתב במקור על ידי WiPi
לגבי הCSRF אין לי מושג מה זה,אבל לפי התיאור שנתת,הפיתרון הוא לא הכי טוב,מכיוןן שאם כבר מישהו שולח בקשה ידנית לקובץ שמבצע את הפעולות,אז הוא בקלות יכול להוסיף HEADER של הREFFER ואז אתה תחשוב שזה בא מהקובץ המקורי,כך שלא פתרת את הבעיה
|
צודק לא חשבתי על זה לגמרי.
ציטוט:
נכתב במקור על ידי RS324
מדריך נחמד , התעלמת לגמרי מ 2 דברים
1. מאד חשוב , register_globals = on יכול לגרום לפרצות אבטחה מאד חמורות
2. magic_qoutes צריך לוודא שהוא OFF ואם הוא ON אז לעשות STRIP_SLASH על הכל כי אז זה עושה צרות עם ה ESCAPE שפשוט תקבל סלאשים כפולים וכאלה...
לגבי הפתרונות הם מתאימים למקרים הבסיסיים אבל אם לדוגמא יש לך עורך WYSIWYG אז אתה לא בדיוק יכול לעשות STRIP_TAGS....
יש עוד כמה נושאים באבטחה שלא נגעת בהם , אבל זה טוב להתחלה
כל הכבוד....
|
זה טיפים בסיסים לחלוטין, אני לא בא לדבר פה על קינפוג נכון של השרת, הרי המתכנת לא יבוא ויתחיל לדרוש מהלקוח תשנה את זה ותשנה את זה.
בכמובן שאם תשתמש בstrip_tags זה ידפוק את התוכן של WYSIWYG לכן צריך גם קצת לדעת מתי להשתמש.