|
|
12-02-08, 15:38
|
# 1 |
|
חבר בקהילה
|
בגדול, בהנחה שאתה מפתח ב- PHP,
כל מה שאתה צריך לעשות זה לדאוג שכל קלט שמגיע מהמשתמש (POST, GET, COOKIE) ונכנס לשאילתת ה- SQL, עובר סינון של הפונקציה mysql_real_escape_string. בנוסף, אתה צריך לוודא שכל קלט שאמור להיות מספרי בלבד, עובר סינון של הפונקציה intval. |
|
|
14-02-08, 00:47
|
# 2 | |
|
תודה על תרומתך.
|
ציטוט:
מה לגבי.... גניבת סשינים ? שינוי ערך של משתנים באמצעות הדפדפן ? גניבת סיסמאות באמצעות IFRAMES לאתר שלך ? שליחת העתקים של אימיילם \ הצפה של אימיליים באמצעות הזרקה לטפסי יצירת קשר ? שינוי קבצי בקשה לקבצי אינקלוד על מנת להשיג קבצי מערכת ? ולהמשיך עוד קצת יותר בצד לקוח... גניבת קוקיז - גניבת זהויות ? גניבת מידע רגיש של JSON באמצעות IFRAME אחר ובכך , השגת מידע חשוב (ככה לדוגמא פרצו לגוגל והשיגו את כל רשימת אנשי הקשר מה GMAIL של בן אדם...) וזה לא נגמר... כי יש עוד הרבה כל מקום שנכנס בו קלט של משתמש צריך לעבור וידוי, לא רק שאילתות.
__________________
|
|
|
|
|
14-02-08, 01:59
|
# 3 | |
|
משתמש - היכל התהילה
|
ציטוט:
ז"א אם הוא מחובר לאתר ספציפי, הוא לא יוצג ככזה.
__________________
קו ישר, כי אפשר גם אחרת |
|
|
|
 |
| חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים) | |
| כלים לאשכול | |
| תצורת הצגה | |
|
|
תצורה משולבת
