אבטחת מערכת(לא פורום) - עמוד 2 - הוסטס

BlueNosE · 19-03-07, 20:47

ציטוט:

נכתב במקור על ידי ASTeam

זה הקטע...שאין למשתמש שהוא לא מנהל להכניס קלט....

ואתה סומך בצורה עיוורת על המנהלים שלך, יפה.

Udi · 19-03-07, 20:51

כל מידע שאתה מקבל מהמשתמש, גם אם זה מנהל, צריך לעבור סינון פקדני בהתאם.
סינון לא מספיק, ישנן סוגי התקפות שאתה צריך לנקוט בצעדים אחרים כדי למנוע.

תמיד תיהיה בגישה של - מה שהמשתמש הביא לי פה זה זדוני עד יוכח אחרת באמצעות בדיקות ופונקציות שאתה תערוך.

אתה רק צריך להכיר את סוגי ההתקפות והדרכים למנוע אותן.

ASTeam · 19-03-07, 20:57

אוקי
בעיקרון אני מאמין שהלקוח לא יוסיף עוד מנהלים שהוא לא סומך בהם...
בכל מקרה איך אני סותם את הפרצה הזו?
עם הפקודה ההיא?
איך אני משתמש בה?
ולגבי שאר הפרצות שאמרתי?
תודה!

nevo · 19-03-07, 21:07

שאלה:
אם אני משתמש בhtmlspecialchars
אז אני צריך להשתמש גם ב
mysql_real_escape_string
??

BlueNosE · 19-03-07, 21:59

ציטוט:

נכתב במקור על ידי nevo

שאלה:
אם אני משתמש בhtmlspecialchars
אז אני צריך להשתמש גם ב
mysql_real_escape_string
??

כעיקרון אני לא משתמש בכלל בmysql_real_escape_string, רק בhtmlspecial עם ENT_QUOTES ומחליף את התו הרגיש ` בערך הASCII שלו.

~~ShoQER~~ · 19-03-07, 22:24

ציטוט:

נכתב במקור על ידי nevo

שאלה:
אם אני משתמש בhtmlspecialchars
אז אני צריך להשתמש גם ב
mysql_real_escape_string
??

htmlspecialcharsנועד על מנת לסנן תגי HTML...

mysql_real_escape_string
נועד על מנת להגן מפני הזרקות SQL.

WebProject · 20-03-07, 08:19

ציטוט:

נכתב במקור על ידי Dr. Bleff

htmlspecialcharsנועד על מנת לסנן תגי HTML...

mysql_real_escape_string
נועד על מנת להגן מפני הזרקות SQL.

htmlspecialchars הופך כל תו HTML לתו ASCII.. בעוד mysql_escape_string חוסם בגרשיים תווים מסוכנים כמו גרשיים וכו'.. אפשר להשתמש ב htmlspecialchara וכמו שBlueNose אמר פשוט להוסיף חסימה ידנית.. אין הרבה תווים מסוכנים :]

Udi · 20-03-07, 09:20

ereg_replace("'", "", $var)
גם שימושי, לא?

DevZone.co.il · 20-03-07, 13:34

אוקיי, אז נסכם?
שימוש בספיישל צ'ארס + אסקייפ סטרינג יספיקו על מנת לאבטח את ה-GET?

אגב, מישהו מוכן להסביר לי מה ההבדל בין:

PHP קוד:


			
mysql_escape_string

mysql_real_escape_string

BlueNosE · 20-03-07, 15:01

ציטוט:

נכתב במקור על ידי KfirSh

אוקיי, אז נסכם?
שימוש בספיישל צ'ארס + אסקייפ סטרינג יספיקו על מנת לאבטח את ה-GET?

מה הקשר לGET? בGET אתה צריך לבדוק את הערך בצורה קפדנית, אם זה ID או מספר אחר (קטן מPHP_MAX_INT

) אז לעשות לו את פונקציית הintval, ואם לא אז לבדוק אותו טוב טוב לפני שמכניסים לשאילתת בדיקה.

מה שדיברנו לפני זה.. זה על אבטחת טפסים ונתוני POST בד"כ (מי מעביר היום מידע טפסים בGET?)

19-03-07, 20:51	# 12
Udi חבר על מיני פרופיל תאריך הצטרפות: Jan 2006 מיקום: במרכז גיל: 36 הודעות: 903	כל מידע שאתה מקבל מהמשתמש, גם אם זה מנהל, צריך לעבור סינון פקדני בהתאם. סינון לא מספיק, ישנן סוגי התקפות שאתה צריך לנקוט בצעדים אחרים כדי למנוע. תמיד תיהיה בגישה של - מה שהמשתמש הביא לי פה זה זדוני עד יוכח אחרת באמצעות בדיקות ופונקציות שאתה תערוך. אתה רק צריך להכיר את סוגי ההתקפות והדרכים למנוע אותן. __________________ Udi Mosayev Web Developer

19-03-07, 20:57	# 13
ASTeam חבר מתקדם מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 580	אוקי בעיקרון אני מאמין שהלקוח לא יוסיף עוד מנהלים שהוא לא סומך בהם... בכל מקרה איך אני סותם את הפרצה הזו? עם הפקודה ההיא? איך אני משתמש בה? ולגבי שאר הפרצות שאמרתי? תודה! __________________

20-03-07, 09:20	# 18
Udi חבר על מיני פרופיל תאריך הצטרפות: Jan 2006 מיקום: במרכז גיל: 36 הודעות: 903	ereg_replace("'", "", $var) גם שימושי, לא? __________________ Udi Mosayev Web Developer

20-03-07, 13:34	# 19
DevZone.co.il חבר בקהילה מיני פרופיל תאריך הצטרפות: Jan 2007 הודעות: 225	אוקיי, אז נסכם? שימוש בספיישל צ'ארס + אסקייפ סטרינג יספיקו על מנת לאבטח את ה-GET? אגב, מישהו מוכן להסביר לי מה ההבדל בין: PHP קוד: `mysql_escape_string mysql_real_escape_string`


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

19-03-07, 21:07	# 14
nevo חבר וותיק מיני פרופיל תאריך הצטרפות: Oct 2005 גיל: 34 הודעות: 1,217	שאלה: אם אני משתמש בhtmlspecialchars אז אני צריך להשתמש גם ב mysql_real_escape_string ??

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)