הרשם שאלות ותשובות רשימת חברים לוח שנה הודעות מהיום

חזור   הוסטס - פורום אחסון האתרים הגדול בישראל > עיצוב גראפי, תכנות על כל שפותיו וקידום ושיווק אתרים > פורום תיכנות
טען מחדש דף זה [php] חסימת הזרקות של get

   
|!|

השב
 
כלים לאשכול תצורת הצגה
ישן 21-02-08, 13:18   # 1
DanielS
הוסטסניון
 
מיני פרופיל
תאריך הצטרפות: Jan 2007
מיקום: ישראל
הודעות: 2,429

DanielS לא מחובר  

ציטוט:
נכתב במקור על ידי hi_sorie צפה בהודעה
הדרך לדעתי הכי טובה לחסום הזרקות זה :
לקחת במערך את כל השאילתא בכתובת למנוע ' " > < ואחרי זה למנוע כל מיני מילים לא רצוייות כמו union ואלה ...
לדעתי טעות גדולה של הרבה מתכנתים היא שהם מאפשרים הכל וחוסמים חלק.
צריך לעשות בידיוק ההפך.
לחסום הכל ולאפשר מה שאתה צריך.

כי אחרת אתה שוכח כל מיני דברים לחסום לכן עדיף לחסום הכל ולאפשר מה שאתה צריך.

תחשוב על זה ככה :
מה היית מעדיף ?
לנעול דלת אחת ולשכוח לנעול אחרת ולהשאיר חלון גדול פתוח.או לנעול את כל הדלתות ולפתוח רק את זה שאתה יוצא ממנה .
__________________
Daniel
Email : daniel [AT] smartwd [DOT] com
  Reply With Quote
ישן 21-02-08, 13:45   # 2
hi_sorie
חבר וותיק
 
מיני פרופיל
תאריך הצטרפות: Oct 2005
מיקום: רחובות
גיל: 38
הודעות: 1,339

hi_sorie לא מחובר  

ציטוט:
נכתב במקור על ידי DanielS צפה בהודעה
לדעתי טעות גדולה של הרבה מתכנתים היא שהם מאפשרים הכל וחוסמים חלק.
צריך לעשות בידיוק ההפך.
לחסום הכל ולאפשר מה שאתה צריך.

כי אחרת אתה שוכח כל מיני דברים לחסום לכן עדיף לחסום הכל ולאפשר מה שאתה צריך.

תחשוב על זה ככה :
מה היית מעדיף ?
לנעול דלת אחת ולשכוח לנעול אחרת ולהשאיר חלון גדול פתוח.או לנעול את כל הדלתות ולפתוח רק את זה שאתה יוצא ממנה .

לא קשור ...
במערכת דינאמית אתה לא יכול לשלוט על הערכים של GET בגלל זה טוב יותר להשתמש ב POST ...
ב POST סיננתי 19 אלף האקרים נובים.
אבל מה שאתה אומר זה לחסום את כל ה GET ולהשתמש רק במה שאתה צריך ...
ואם תוך כדי השימוש במערכת הוא שולח נתונים ב GET כמו כתובת או בא לו להגיד delete ? אז מה ? לא לאפשר...

מה שכן ... צריך להריץ את כל הערכים שקיבלת כך :

PHP קוד:
     foreach ($_GET as $value
ולחסום

PHP קוד:
    $value htmlspecialchars($valueENT_QUOTES)
    $value urlencode($value
  Reply With Quote
ישן 21-02-08, 14:19   # 3
DanielS
הוסטסניון
 
מיני פרופיל
תאריך הצטרפות: Jan 2007
מיקום: ישראל
הודעות: 2,429

DanielS לא מחובר  

ציטוט:
נכתב במקור על ידי hi_sorie צפה בהודעה
לא קשור ...
במערכת דינאמית אתה לא יכול לשלוט על הערכים של GET בגלל זה טוב יותר להשתמש ב POST ...
ב POST סיננתי 19 אלף האקרים נובים.
אבל מה שאתה אומר זה לחסום את כל ה GET ולהשתמש רק במה שאתה צריך ...
ואם תוך כדי השימוש במערכת הוא שולח נתונים ב GET כמו כתובת או בא לו להגיד delete ? אז מה ? לא לאפשר...

מה שכן ... צריך להריץ את כל הערכים שקיבלת כך :

PHP קוד:
     foreach ($_GET as $value
ולחסום

PHP קוד:
    $value htmlspecialchars($valueENT_QUOTES)
    $value urlencode($value
הכוונה בחסימה של הכל זה נגיד אתה רוצה לאפשר שיוכנסו רק מילים מסויימות נגיד רק blabla אז ככה :
PHP קוד:
<?php 
if($_GET['action']=="blabla"){ 
 echo "בלה בלה בלה"
}else 
 echo "דף רגיל";
?>
ככה שאם לא מוכנס בלה בלה אז זה מדפיס דף רגיל
__________________
Daniel
Email : daniel [AT] smartwd [DOT] com
  Reply With Quote
ישן 21-02-08, 16:27   # 4
hi_sorie
חבר וותיק
 
מיני פרופיל
תאריך הצטרפות: Oct 2005
מיקום: רחובות
גיל: 38
הודעות: 1,339

hi_sorie לא מחובר  

ציטוט:
נכתב במקור על ידי DanielS צפה בהודעה
הכוונה בחסימה של הכל זה נגיד אתה רוצה לאפשר שיוכנסו רק מילים מסויימות נגיד רק blabla אז ככה :
PHP קוד:
<?php 
if($_GET['action']=="blabla"){ 
 echo "בלה בלה בלה"
}else 
 echo "דף רגיל";
?>
ככה שאם לא מוכנס בלה בלה אז זה מדפיס דף רגיל

הבנתי אותך עכשיו על מה דיברת ...
אבל זה ריאלי רק כאשר אתה מפנה מידע לדף חדש ב GET בתוך התיכנות לא משהו שקשור לצד הצופה...
  Reply With Quote
השב

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)
 

« אשכול קודם | אשכול הבא »

חוקי פירסום
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is מופעל
סמיילים הם מופעל
[IMG] קוד מופעל
קוד HTML מכובה
קפיצה לפורום


כל הזמנים הם GMT +2. הזמן כעת הוא 19:00.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ
- שרת ייעודי - מדריך בניית אתרים - צור קשר - הוסטס - אחסון אתרים - ארכיון - ראשי