[עזרה] הגנה מפני SQL INJECTION וכו... - הוסטס

Saint · 02-07-06, 04:06

אני כרגע בונה מערכת פורומים שתשוחרר בקרוב, ואני רוצה שהיא תהיה ממש מאובטחת...
ואני צריך מספר דרכים בכדי להגן מפני הזרקת מידע... והגנה על משתנים...

miniature · 02-07-06, 04:31

mysql_escape_string
mysql_real_escape_string
add_slashes
ויש עוד כמה שאני לא זוכר כרגע..

Distortion · 02-07-06, 13:00

כל מה שרצית לדעת על SQL Injection.

drowkid · 02-07-06, 15:46

PHP קוד:


			
function no_inc($str)

{

$str = str_replace('"', '&#34"', $str);

$str = str_replace("'", "&#39", $str);

$str = str_replace("`", "&#96", $str);



$str = str_replace('(', '&#40"', $str);

$str = str_replace(")", "&#41", $str);



$str = str_replace(";", "&#59", $str);



return $str;

}

היה לי משעמם

mlnn · 02-07-06, 16:05

ציטוט:

נכתב במקור על ידי drowkid

PHP קוד:


			
function no_inc($str)

{

$str = str_replace('"', '&#34"', $str);

$str = str_replace("'", "&#39", $str);

$str = str_replace("`", "&#96", $str);



$str = str_replace('(', '&#40"', $str);

$str = str_replace(")", "&#41", $str);



$str = str_replace(";", "&#59", $str);



return $str;

}

היה לי משעמם

lol
htmlspecialchars()

drowkid · 02-07-06, 16:10

אני יודע... יש מלא דרכים...

eLad · 02-07-06, 16:16

ציטוט:

נכתב במקור על ידי drowkid

PHP קוד:


			
function no_inc($str)

{

$str = str_replace('"', '&#34"', $str);

$str = str_replace("'", "&#39", $str);

$str = str_replace("`", "&#96", $str);



$str = str_replace('(', '&#40"', $str);

$str = str_replace(")", "&#41", $str);



$str = str_replace(";", "&#59", $str);



return $str;

}

היה לי משעמם

הפונקציה שלך די מיותרת במקרים רבים. למשל במקרה שבו צריך להכניס למסד מספר. אין טעם לרוץ על הכל ולהחליף תווים, מספיק תנאי פשוט "האם X מספר - כן? תוסיף למסד. לא? תחזיר שגיאה".

גם כשעוסקים בהכנסת מחרוזת למסד, צריך להחליף ולטפל בעוד כמה תווים שעלולים לגרום נזק, כמו למשל: & או < או >.

02-07-06, 04:06	# 1
Saint חבר פורום מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 123	[עזרה] הגנה מפני SQL INJECTION וכו... אני כרגע בונה מערכת פורומים שתשוחרר בקרוב, ואני רוצה שהיא תהיה ממש מאובטחת... ואני צריך מספר דרכים בכדי להגן מפני הזרקת מידע... והגנה על משתנים... __________________ פין.

02-07-06, 04:31	# 2
miniature חבר וותיק מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 1,754	mysql_escape_string mysql_real_escape_string add_slashes ויש עוד כמה שאני לא זוכר כרגע.. __________________ יואב. דרכים ליצירת קשר: אימייל: thebigfire@walla.co.il הודעה פרטית

02-07-06, 15:46	# 4
drowkid חבר בקהילה מיני פרופיל תאריך הצטרפות: Apr 2006 מיקום: מרכז - איזור כפ"ס הודעות: 138	PHP קוד: function no_inc($str) { $str = str_replace('"', '&#34"', $str); $str = str_replace("'", "&#39", $str); $str = str_replace("`", "&#96", $str); $str = str_replace('(', '&#40"', $str); $str = str_replace(")", "&#41", $str); $str = str_replace(";", "&#59", $str); return $str; } היה לי משעמם __________________ Last edited by drowkid; 02-07-06 at 15:52..

02-07-06, 16:10	# 6
drowkid חבר בקהילה מיני פרופיל תאריך הצטרפות: Apr 2006 מיקום: מרכז - איזור כפ"ס הודעות: 138	אני יודע... יש מלא דרכים... __________________


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

02-07-06, 13:00	# 3
Distortion חבר חדש מיני פרופיל תאריך הצטרפות: Oct 2005 גיל: 37 הודעות: 40	כל מה שרצית לדעת על SQL Injection.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)