אבטחת האתר. - הוסטס

morsrh · 13-11-10, 18:37

שלום , אילו בדיקות נדרשות כדי להכניס למסד טקסט חופשי ללא שום סקנות או חששות חוץ משני הפונקציות האלו?
mysql_real_escape_string
htmlspecialchars
להריץ על הטקסט REGEX ? אם כן מה לבדוק?
תודה.

AlmogBaku · 13-11-10, 20:48

mysql_real_escape_string בלבד.

במידה ואתה רוצה למנוע מהפלט להציג HTML, בהדפסה אתה עושה htmlspecialchars

Haimz · 15-11-10, 15:24

אני מאבטח באמצעות הפונק הבאה (לפי מה שהבנתי, GET ו POST, אבל בPOST אני לא שם mysql_real_escape_String בכל מקרה תראה של GET )

PHP קוד:


			
function protectGET($string) {
  $way = "get"; // write POST or GET to protect
  if($way == "post") {
    $rem = $_POST[$string];
  } else {
    $rem = $_GET[$string];
  }
  $enc = strip_tags(mysql_real_escape_string(htmlspecialchars(trim($rem)));
  return $enc;
}

morsrh · 15-11-10, 16:04

האבטחה של GET קשורה לאתר , איך אתה יוצר את הקישור וכו'.
טוב , הבנתי איך לאבטח POST , תודה.

Shay Ben Moshe · 16-11-10, 17:25

מה זה הקטע הזה של לעשות גם htmlspecialchars גם mysql_real_escape_string וגם strip_tags?????
אם אתה מגדיר לhtmlspecialchars את הארגומנט השני כENT_QUOTES אז הוא הופך את ה' ל', ואז הצורך בmysql_real_escape_string לא קיים, פשוט בדיקה כפולה ומיותרת. הstrip_tags מוחק את כל התגיות, אבל איך יכולות להיות תגיות אם הפעלת את הhtmlspecialchars.

לגבי trim, אני לא חושב שתמיד באמת יש צורך בזה, לכן אני לא יודע עד כמה זה חכם לשים את זה מובנה בפונקציה.

AlmogBaku · 16-11-10, 18:15

לא עושים בכלל החלפה של תווים בשמירה למסד!! למסד הנתונים צריכים להיות מוכנסים כמו שהם(דהיינו רק אסקייפינג(כדי למנוע שגיאות או הזרקות)).
ההגנות מפני XSS צריכות להתבצע בהדפסה בלבד.

מצב היפוטטי:
--
נתתי למשתמש להכניס עריכה של תוכן, עשיתי החלפה של תווים(htmlenteties || htmlspeacialchars) ושוב החלטתי לערוך- הנתונים שאקבל יכולים להיות פריקיים!

Erez | TrustMedia.co.il · 16-11-10, 19:35

ציטוט:

נכתב במקור על ידי Baku

לא עושים בכלל החלפה של תווים בשמירה למסד!! למסד הנתונים צריכים להיות מוכנסים כמו שהם(דהיינו רק אסקייפינג(כדי למנוע שגיאות או הזרקות)).
ההגנות מפני XSS צריכות להתבצע בהדפסה בלבד.

מצב היפוטטי:
--
נתתי למשתמש להכניס עריכה של תוכן, עשיתי החלפה של תווים(htmlenteties || htmlspeacialchars) ושוב החלטתי לערוך- הנתונים שאקבל יכולים להיות פריקיים!

אז פשוט אפשר להמיר בחזרה לHTML כשרוצים עם htmlspecialchars_decode..

Shay Ben Moshe · 16-11-10, 22:42

Baku, אני דווקא מעדיף בד"כ להכניס את כל הנתונים עם htmlspecialchars. אני לא דואג להSQLI בגלל שאני משתמש רק בPDO ובPREPARED STATEMENTS אז הבעיה בכלל לא קיימת, ונח מאוד לעבוד עם נתונים שהם במסד ככה.

AlmogBaku · 16-11-10, 23:04

אז יש סיכוי מאוד גדול שבעתיד תתחרט על דרך העבודה שלך

הרעיון הוא לא לעבוד לפי איך שנוח לנו דאווקה, אלא לפי מה שיותר לוגי =]

BlueNosE · 17-11-10, 15:27

ציטוט:

נכתב במקור על ידי Baku

אז יש סיכוי מאוד גדול שבעתיד תתחרט על דרך העבודה שלך

הרעיון הוא לא לעבוד לפי איך שנוח לנו דאווקה, אלא לפי מה שיותר לוגי =]

אני דווקא מסכים עם שי, אם שדה מסויים מיועד וייועד בעתיד לפונקציונליות מסויימת למה לא לשמור מראש מוגן? אני מדבר לדוגמא על "שם משתמש" או על שדה "מקום ילדות אהוב" שהמשתמש יכול למלא. אין סיבה שיהיה לזה שימוש חוץ משימוש מאובטח, לא?

13-11-10, 18:37	# 1
morsrh חבר מתקדם מיני פרופיל תאריך הצטרפות: Feb 2010 מיקום: אשקלון. גיל: 31 הודעות: 444	אבטחת האתר. שלום , אילו בדיקות נדרשות כדי להכניס למסד טקסט חופשי ללא שום סקנות או חששות חוץ משני הפונקציות האלו? mysql_real_escape_string htmlspecialchars להריץ על הטקסט REGEX ? אם כן מה לבדוק? תודה.

15-11-10, 15:24	# 3
Haimz חבר וותיק מיני פרופיל תאריך הצטרפות: Sep 2010 הודעות: 1,221	אני מאבטח באמצעות הפונק הבאה (לפי מה שהבנתי, GET ו POST, אבל בPOST אני לא שם mysql_real_escape_String בכל מקרה תראה של GET ) PHP קוד: `function protectGET($string) { $way = "get"; // write POST or GET to protect if($way == "post") { $rem = $_POST[$string]; } else { $rem = $_GET[$string]; } $enc = strip_tags(mysql_real_escape_string(htmlspecialchars(trim($rem))); return $enc; }`

16-11-10, 17:25	# 5
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	מה זה הקטע הזה של לעשות גם htmlspecialchars גם mysql_real_escape_string וגם strip_tags????? אם אתה מגדיר לhtmlspecialchars את הארגומנט השני כENT_QUOTES אז הוא הופך את ה' ל', ואז הצורך בmysql_real_escape_string לא קיים, פשוט בדיקה כפולה ומיותרת. הstrip_tags מוחק את כל התגיות, אבל איך יכולות להיות תגיות אם הפעלת את הhtmlspecialchars. לגבי trim, אני לא חושב שתמיד באמת יש צורך בזה, לכן אני לא יודע עד כמה זה חכם לשים את זה מובנה בפונקציה. __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.

16-11-10, 22:42	# 8
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	Baku, אני דווקא מעדיף בד"כ להכניס את כל הנתונים עם htmlspecialchars. אני לא דואג להSQLI בגלל שאני משתמש רק בPDO ובPREPARED STATEMENTS אז הבעיה בכלל לא קיימת, ונח מאוד לעבוד עם נתונים שהם במסד ככה. __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

13-11-10, 20:48	# 2
AlmogBaku חבר וותיק מיני פרופיל תאריך הצטרפות: Nov 2007 מיקום: מודיעין הודעות: 1,022	mysql_real_escape_string בלבד. במידה ואתה רוצה למנוע מהפלט להציג HTML, בהדפסה אתה עושה htmlspecialchars

15-11-10, 16:04	# 4
morsrh חבר מתקדם מיני פרופיל תאריך הצטרפות: Feb 2010 מיקום: אשקלון. גיל: 31 הודעות: 444	האבטחה של GET קשורה לאתר , איך אתה יוצר את הקישור וכו'. טוב , הבנתי איך לאבטח POST , תודה.

16-11-10, 18:15	# 6
AlmogBaku חבר וותיק מיני פרופיל תאריך הצטרפות: Nov 2007 מיקום: מודיעין הודעות: 1,022	לא עושים בכלל החלפה של תווים בשמירה למסד!! למסד הנתונים צריכים להיות מוכנסים כמו שהם(דהיינו רק אסקייפינג(כדי למנוע שגיאות או הזרקות)). ההגנות מפני XSS צריכות להתבצע בהדפסה בלבד. מצב היפוטטי: -- נתתי למשתמש להכניס עריכה של תוכן, עשיתי החלפה של תווים(htmlenteties \|\| htmlspeacialchars) ושוב החלטתי לערוך- הנתונים שאקבל יכולים להיות פריקיים!

16-11-10, 23:04	# 9
AlmogBaku חבר וותיק מיני פרופיל תאריך הצטרפות: Nov 2007 מיקום: מודיעין הודעות: 1,022	אז יש סיכוי מאוד גדול שבעתיד תתחרט על דרך העבודה שלך הרעיון הוא לא לעבוד לפי איך שנוח לנו דאווקה, אלא לפי מה שיותר לוגי =]

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)