[עזרה]אבטחת אתר - עמוד 2 - הוסטס

aviho1 · 11-07-08, 14:48

תעשה replce לגרש זה ימנע את רוב ההזרקות.

**Daniel** · 11-07-08, 15:51

ציטוט:

נכתב במקור על ידי aviho1

תעשה replce לגרש זה ימנע את רוב ההזרקות.

ומה? ואם המשתמש כותב גרש, זה יחסום לו? מאוד לא טוב. מאוד מאוד לא טוב.

~~kfir91~~ · 11-07-08, 17:25

מאסטר מה אתה מבלבל תשכל בטח שיש אל תחפור סתם
מה הקשר HTML עזוב אם אתה לא מבין אל תדבר
http://www.php.net/htmlspecialchars

**Daniel** · 11-07-08, 19:52

kfir91. אני באמת שונא לעשות את זה, אבל מה שאמרת לו זה חבורה של שטויות ביחד.

htmlspecialchars "מנטרל" את ה-HTML, כדי שלא יהיה ניתן לתפעל סקריפטים - הוא לא "מנטרל" את הסקריפטים, אלא מונע את הפעלתם. הגבתי לך על כל "השטויות" שכתבת. תקרא, תפנים.

~~Striker~~ · 11-07-08, 20:14

^^ תנו לבנאדם תשובה נורמלית.
בתכלס HTMLSPECIALCHARS מכסה XSS.
יש מספר דרכים לחסום SQL INJ והקלה שבהם היא בדיקה אם המשתנה הוא מספרי (במקרים של ID ) או הסרה של " ' (ישנה פונקציה בPHP עבור זה)

~~kfir91~~ · 11-07-08, 22:51

אוי ואבוי יענו אתה לא יודע שמנטרל ומונע זה אותו דבר ?
מה אתה תופס אותי במילים העיקר הכוונה אפשר לחשוב בעיקרון זה נכון מה שאמרתי עשית ממני טמבל לחלוטין שלא מבין ממה שהוא אומר

**Daniel** · 11-07-08, 23:12

ציטוט:

נכתב במקור על ידי kfir91

אוי ואבוי יענו אתה לא יודע שמנטרל ומונע זה אותו דבר ?
מה אתה תופס אותי במילים העיקר הכוונה אפשר לחשוב בעיקרון זה נכון מה שאמרתי עשית ממני טמבל לחלוטין שלא מבין ממה שהוא אומר

ציטטתי לך את כל מה שאמרת, ומתחת לכל שורה סתרתי אותה...

~~kfir91~~ · 12-07-08, 02:07

סתרת בצורה חריפה שממש כל מה שאמרת די דומה.

Kfir.G · 12-07-08, 09:55

שמע כפיר בתכלס אנשים פה מנסים לעזור אחד לשני וזה שאתה לא יודע לקבל את הביקורת של מתכנתים מנוסים ומתקדמים יותר ממך זאת באמת בעיה... למשל הבדיקה המטופשת וחסרת התועלת שעשית עם הID... אתה פשוט בודק אם ID הוא מספרי ואם כן אתה מכניס אותו לשאילתה. במקרה שמספר השורות המוחזרות הוא אפס הID שגוי. אין טעם לשאילתה נוספת. עכשיו בנוגע למה שאמרת עם htmlspecialchars דבר ראשון כשאתה נותן למשתמש הסבר הכולל שימוש בפונקציה מן הראוי שלפחות תכתוב אותה כמו שצריך בלי שגיאות כתיב. דבר נוסף שעלה פה היא הנקודה של דניאל. מה שהפונקציה הזאת עושה זה פשוט לנטרל תגי HTML על ידי החלפת תווי HTML מיוחדים כמו <,> וכד'. מה שזה אומר שאתה מנטרל את הקוד אבל לא מסיר אותו. שמע כפיר אני מבין שיש לך רצון לעזור אבל באמת לא ראוי שתעזור בנושאים שאתה לא מבין בהם ותטעה אנשים אחרים. אם זכרוני אינו מטעני אתה עצמך ביקשת עזרה לגבי אותו הנושא בדיוק.

לסיכום כפיר אתה צריך ללמוד לקבל ביקורת וללמוד לבדוק את הדברים לפני שאתה כותב אותם.

עכשיו לפותח האשכול.
מה שאני ממליץ לך לעשות זה להסתכל על קוד מקור של מערכות גדולות למשל VB או IPB ולראות איך שם פתרו את הבעיה. למרות שיש יתרונות לכך שאתה שואל בפורום. אני למשל לא הייתי מעלה על דעתי שמישהו ישתמש בשאילתה בצורה כל כך סתמית כמו כפיר אבל מסתבר שיש. עכשיו אחרי שראיתי שהדבר הזה קיים אני אדע שבעתיד כשמישהו שואל כדאי להוסיף דרך לבדיקה שלא מבזבזת משאבים בצורה סתמית כל כך..

יום טוב,
כפיר

dabi · 12-07-08, 19:53

חלאס לריב כמו ילדים קטנים
לסיכום אני צריך תשובות
האם
htmlspecialchars מכסה XSS
ואיך אני מכסה SQL INJ ???
בבקשה בלי מריבות

11-07-08, 14:48	# 1
aviho1 Winner מיני פרופיל תאריך הצטרפות: Jan 2008 הודעות: 954	תעשה replce לגרש זה ימנע את רוב ההזרקות. __________________ להנאתם אתר משחקים כיפי. היום עושים מסיבות רווקים ורווקות רק בלופט למסיבות, תנסו ולא תתחרטו.

12-07-08, 09:55	# 9
Kfir.G חבר וותיק מיני פרופיל תאריך הצטרפות: Dec 2005 הודעות: 1,059	שמע כפיר בתכלס אנשים פה מנסים לעזור אחד לשני וזה שאתה לא יודע לקבל את הביקורת של מתכנתים מנוסים ומתקדמים יותר ממך זאת באמת בעיה... למשל הבדיקה המטופשת וחסרת התועלת שעשית עם הID... אתה פשוט בודק אם ID הוא מספרי ואם כן אתה מכניס אותו לשאילתה. במקרה שמספר השורות המוחזרות הוא אפס הID שגוי. אין טעם לשאילתה נוספת. עכשיו בנוגע למה שאמרת עם htmlspecialchars דבר ראשון כשאתה נותן למשתמש הסבר הכולל שימוש בפונקציה מן הראוי שלפחות תכתוב אותה כמו שצריך בלי שגיאות כתיב. דבר נוסף שעלה פה היא הנקודה של דניאל. מה שהפונקציה הזאת עושה זה פשוט לנטרל תגי HTML על ידי החלפת תווי HTML מיוחדים כמו <,> וכד'. מה שזה אומר שאתה מנטרל את הקוד אבל לא מסיר אותו. שמע כפיר אני מבין שיש לך רצון לעזור אבל באמת לא ראוי שתעזור בנושאים שאתה לא מבין בהם ותטעה אנשים אחרים. אם זכרוני אינו מטעני אתה עצמך ביקשת עזרה לגבי אותו הנושא בדיוק. לסיכום כפיר אתה צריך ללמוד לקבל ביקורת וללמוד לבדוק את הדברים לפני שאתה כותב אותם. עכשיו לפותח האשכול. מה שאני ממליץ לך לעשות זה להסתכל על קוד מקור של מערכות גדולות למשל VB או IPB ולראות איך שם פתרו את הבעיה. למרות שיש יתרונות לכך שאתה שואל בפורום. אני למשל לא הייתי מעלה על דעתי שמישהו ישתמש בשאילתה בצורה כל כך סתמית כמו כפיר אבל מסתבר שיש. עכשיו אחרי שראיתי שהדבר הזה קיים אני אדע שבעתיד כשמישהו שואל כדאי להוסיף דרך לבדיקה שלא מבזבזת משאבים בצורה סתמית כל כך.. יום טוב, כפיר __________________ פיג'מה משחקים

כלים לאשכול
הצגת גרסת הדפסה שלח דף זה באימייל
תצורת הצגה
עבור לתצורה לניארית תצורה משולבת עבור לתצורת אשכולות


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

11-07-08, 17:25	# 3
~~kfir91~~ חסום מיני פרופיל תאריך הצטרפות: Apr 2007 הודעות: 220	מאסטר מה אתה מבלבל תשכל בטח שיש אל תחפור סתם מה הקשר HTML עזוב אם אתה לא מבין אל תדבר http://www.php.net/htmlspecialchars

11-07-08, 19:52	# 4
Daniel אחראי פורום מיני פרופיל תאריך הצטרפות: Mar 2007 הודעות: 2,875	kfir91. אני באמת שונא לעשות את זה, אבל מה שאמרת לו זה חבורה של שטויות ביחד. htmlspecialchars "מנטרל" את ה-HTML, כדי שלא יהיה ניתן לתפעל סקריפטים - הוא לא "מנטרל" את הסקריפטים, אלא מונע את הפעלתם. הגבתי לך על כל "השטויות" שכתבת. תקרא, תפנים.

11-07-08, 20:14	# 5
~~Striker~~ Permanently Banned מיני פרופיל תאריך הצטרפות: May 2007 הודעות: 812	^^ תנו לבנאדם תשובה נורמלית. בתכלס HTMLSPECIALCHARS מכסה XSS. יש מספר דרכים לחסום SQL INJ והקלה שבהם היא בדיקה אם המשתנה הוא מספרי (במקרים של ID ) או הסרה של " ' (ישנה פונקציה בPHP עבור זה)

11-07-08, 22:51	# 6
~~kfir91~~ חסום מיני פרופיל תאריך הצטרפות: Apr 2007 הודעות: 220	אוי ואבוי יענו אתה לא יודע שמנטרל ומונע זה אותו דבר ? מה אתה תופס אותי במילים העיקר הכוונה אפשר לחשוב בעיקרון זה נכון מה שאמרתי עשית ממני טמבל לחלוטין שלא מבין ממה שהוא אומר

12-07-08, 02:07	# 8
~~kfir91~~ חסום מיני פרופיל תאריך הצטרפות: Apr 2007 הודעות: 220	סתרת בצורה חריפה שממש כל מה שאמרת די דומה.

12-07-08, 19:53	# 10
dabi חבר וותיק מיני פרופיל תאריך הצטרפות: Dec 2007 הודעות: 1,767	חלאס לריב כמו ילדים קטנים לסיכום אני צריך תשובות האם htmlspecialchars מכסה XSS ואיך אני מכסה SQL INJ ??? בבקשה בלי מריבות

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)