אבטחה - SQL - הוסטס

HOLD · 08-07-09, 04:42

איך אני יכול לאבטח את השאילתות שלי יותר?

ככה הן נראות עכשיו:

PHP קוד:


			
$result=mysql_query("SELECT dText,fText FROM KK_Data WHERE Name='".mysql_escape_string($_GET['name'])."'");

יש דרך לעשות אותן יותר "קשיחות"?

תודה.

ועוד משהו,
איך עושים שה-php לא יציג שגיאות של sql ?

stel222 · 08-07-09, 13:32

קודם כל תשנה את הפונקציה mysql_escape_string ל mysql_real_escape_string

HOLD · 08-07-09, 14:05

ציטוט:

נכתב במקור על ידי stel222

קודם כל תשנה את הפונקציה mysql_escape_string ל mysql_real_escape_string

תודה, שיניתי.

יש עוד?

Shay Ben Moshe · 08-07-09, 14:22

אמממ בעקרון אין הרבה.
אני אישית הרבה פעמים מטפל במספרים לדוגמה בעזרת is_numeric (מערכים בעזרת is_array וכו'), אני בודק בעזרת mysql_num_rows שכמות התוצאות שונה מ0 ולפעמים עוד דברים בהתאם למקרה.

AlmogBaku · 09-07-09, 23:48

PHP קוד:


			
$q="SELECT * FROM `tbl` WHERE `str`='" . mysql_real_escape_string($str) . "' AND `int1`=" . intval($int1) . " AND `float1`=" . floatval($float1) . ";";

$r=mysql_query($q);

דוגמא להכל פחות או יותר.

אדיר · 10-07-09, 00:35

ציטוט:

נכתב במקור על ידי Baku

PHP קוד:


			
$q="SELECT * FROM `tbl` WHERE `str`='" . mysql_real_escape_string($str) . "' AND `int1`=" . intval($int1) . " AND `float1`=" . floatval($float1) . ";";
$r=mysql_query($q);

דוגמא להכל פחות או יותר.

האמת שאתה לא אמור להפוך את הקלט למספר כמו שעשית פה, אתה אמור לוודא שהוא מספר.

AlmogBaku · 10-07-09, 09:41

ציטוט:

נכתב במקור על ידי xPerfection

האמת שאתה לא אמור להפוך את הקלט למספר כמו שעשית פה, אתה אמור לוודא שהוא מספר.

תלוי בצרכים מן הסתם..
אבל יש הרבה פעמים שבהם אם המשתמש מנסה לרמות אז מבחינתי זו "בעיה שלו".

ותעיף את ה"מאבטח אתרים" מהחתימה שלך.

Valred | OTM Group · 10-07-09, 11:13

ציטוט:

נכתב במקור על ידי Baku

ותעיף את ה"מאבטח אתרים" מהחתימה שלך.

חחחחחחחחחחחחח
קרעת אותי

אדיר · 10-07-09, 12:01

ציטוט:

נכתב במקור על ידי Baku

תלוי בצרכים מן הסתם..
אבל יש הרבה פעמים שבהם אם המשתמש מנסה לרמות אז מבחינתי זו "בעיה שלו".

ותעיף את ה"מאבטח אתרים" מהחתימה שלך.

לא תלוי בשום צרכים, אתה אמור לאמת את הקלט ולא לשנות אותו.
ולמה בדיוק שאני אעיף את זה?

**Tomer** · 10-07-09, 16:37

לא על כל שטות צריך להעיף למשתמש הודעת שגיאה / להרוג את הסקריפט.

אם המשתמש הכניס כמה אותיות ומספר בתור מס' עמוד, והקלט מהמשתמש עבר סינון כלשהו ע"י mysql_real_escape_string לדוגמא, אין צורך לזרוק שגיאה שהוא לא הכניס מס'. פשוט לחפש את מה שהוא הכניס במסד, בדיוק כאילו היה מס', ולזרוק שגיאה אם מס' העמוד לא נמצא (ובמידה ויש רק מספרים - תזרק שגיאה בכ"מ, כי אין עמוד עם אותיות).

08-07-09, 04:42	# 1
HOLD חבר מתקדם מיני פרופיל תאריך הצטרפות: Oct 2008 הודעות: 623	אבטחה - SQL איך אני יכול לאבטח את השאילתות שלי יותר? ככה הן נראות עכשיו: PHP קוד: `$result=mysql_query("SELECT dText,fText FROM KK_Data WHERE Name='".mysql_escape_string($_GET['name'])."'");` יש דרך לעשות אותן יותר "קשיחות"? תודה. ועוד משהו, איך עושים שה-php לא יציג שגיאות של sql ? Last edited by HOLD; 08-07-09 at 05:13..

08-07-09, 14:22	# 4
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	אמממ בעקרון אין הרבה. אני אישית הרבה פעמים מטפל במספרים לדוגמה בעזרת is_numeric (מערכים בעזרת is_array וכו'), אני בודק בעזרת mysql_num_rows שכמות התוצאות שונה מ0 ולפעמים עוד דברים בהתאם למקרה. __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.

09-07-09, 23:48	# 5
AlmogBaku חבר וותיק מיני פרופיל תאריך הצטרפות: Nov 2007 מיקום: מודיעין הודעות: 1,022	PHP קוד: $q="SELECT * FROM `tbl` WHERE `str`='" . mysql_real_escape_string($str) . "' AND `int1`=" . intval($int1) . " AND `float1`=" . floatval($float1) . ";"; $r=mysql_query($q); דוגמא להכל פחות או יותר.

10-07-09, 16:37	# 10
Tomer Whatever מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 7,039	לא על כל שטות צריך להעיף למשתמש הודעת שגיאה / להרוג את הסקריפט. אם המשתמש הכניס כמה אותיות ומספר בתור מס' עמוד, והקלט מהמשתמש עבר סינון כלשהו ע"י mysql_real_escape_string לדוגמא, אין צורך לזרוק שגיאה שהוא לא הכניס מס'. פשוט לחפש את מה שהוא הכניס במסד, בדיוק כאילו היה מס', ולזרוק שגיאה אם מס' העמוד לא נמצא (ובמידה ויש רק מספרים - תזרק שגיאה בכ"מ, כי אין עמוד עם אותיות). __________________ תומר


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

08-07-09, 13:32	# 2
stel222 חבר מתקדם מיני פרופיל תאריך הצטרפות: Mar 2008 הודעות: 399	קודם כל תשנה את הפונקציה mysql_escape_string ל mysql_real_escape_string

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)