הרשם שאלות ותשובות רשימת חברים לוח שנה הודעות מהיום

חזור   הוסטס - פורום אחסון האתרים הגדול בישראל > עיצוב גראפי, תכנות על כל שפותיו וקידום ושיווק אתרים > פורום תיכנות
טען מחדש דף זה מחפש מישהו שיבדוק לי SQL INJECTION

   
|!|

השב
 
כלים לאשכול תצורת הצגה
ישן 10-07-08, 02:59   # 1
Daniel
אחראי פורום
 
מיני פרופיל
תאריך הצטרפות: Mar 2007
הודעות: 2,875

Daniel לא מחובר  

ציטוט:
נכתב במקור על ידי BlueNosE צפה בהודעה
אני באמת לא מבין..
מה לא בטוח בלאבטח סלקטיבית את הVARIABLE המתאים? :\
זה חוסך את הX מאיות האלו של האבטחה של הדברים שלא צריכים לעבור את האבטחה הזאת.

ועם FCK אין שום בעיה לכתוב החיים <הם> טובים, אתה יודע.

SCRIPTS? אז אני מריץ ביטוי PREG ברמה בסיסית וחוסם.
STYLES? אותו חרא.

עכשיו, בקשר להרגלים לא נכונים, אני עובד עם ERROR_FULL והשמרנות שלי עולה בהרבה שורות קוד. בחיים לא חשבתי לסנן סלקטיבית מילים כמו DELETE או SELECT. שוב, כל מידע שמגיע אלי ואמור להיות מאובטח - מתקבל מאובטח. אני שוב לא מבין מה הבעיה לאבטח רק את מה שצריך.
אני מסכים איתך שמבחינת שחור על גבי לבן - כן, אם תאבטח באופן אינדיבידואלי את הקלט המתאים, זה יהיה יותר יעיל. אבל אני מאמין שלסנן את הכל זה הרבה יותר טוב.

אני דיברתי על אינפוטים, ואנא בשביל העניין, תביא לי דף עם עורך חכם, וכשאני אלחץ שלח, זה יציג לי את הכל בלי JS או כל דבר מזיק.

וגם אני עובד ככה, עם E_ALL, וזה אידיוטי לסנן מילים, אבל בשיטה שלי, ברגע שיש לך את הביטחון הזה... ברגע שאתה יודע שאין מצב ששכחת משהו, לא חשבת שמשהו רלוונטי... זה עוד כמה מאיות לאבטחה מלאה.

חוץ מזה, שאם IPB בנוי ככה, ואם vBulletin בנוי ככה, ואם עוד הרבה מערכות מאוד גדולות בנויות ככה, יש היגיון, מסכים?
  Reply With Quote
ישן 10-07-08, 12:02   # 2
BlueNosE
אין כמו ב127.0.0.1
 
BlueNosE's Avatar
 
מיני פרופיל
תאריך הצטרפות: Oct 2005
מיקום: כפ"ס
גיל: 32
הודעות: 4,086

BlueNosE לא מחובר  

ציטוט:
נכתב במקור על ידי MasterT צפה בהודעה
אני מסכים איתך שמבחינת שחור על גבי לבן - כן, אם תאבטח באופן אינדיבידואלי את הקלט המתאים, זה יהיה יותר יעיל. אבל אני מאמין שלסנן את הכל זה הרבה יותר טוב.

אני דיברתי על אינפוטים, ואנא בשביל העניין, תביא לי דף עם עורך חכם, וכשאני אלחץ שלח, זה יציג לי את הכל בלי JS או כל דבר מזיק.

וגם אני עובד ככה, עם E_ALL, וזה אידיוטי לסנן מילים, אבל בשיטה שלי, ברגע שיש לך את הביטחון הזה... ברגע שאתה יודע שאין מצב ששכחת משהו, לא חשבת שמשהו רלוונטי... זה עוד כמה מאיות לאבטחה מלאה.

חוץ מזה, שאם IPB בנוי ככה, ואם vBulletin בנוי ככה, ואם עוד הרבה מערכות מאוד גדולות בנויות ככה, יש היגיון, מסכים?
אני אתחיל מזה שאין מצב שאני קורא למשתנה לא מאובטח.
עם המחלקת FETCH שהכנתי, אני פשוט יודע אם אני צריך להשתמש בSECURE (פונקצית מחלקה) או לא. זה לא מסבך כ"כ: או secure($val) או the($val).

עכשיו, שכחתי לציין משהו.
אתה באמת חושב שמתפקידי לסנן JS מאתר מסויים?
אתה באמת חושב שזו תהיה בקשה הגיונית מלקוח לא לתת לאנשים להכניס JS או CSS לקוד?
ומה אם הם ישימו IFRAME או סתם ימתחו את העמוד יותר מדי? את כל זה תסנן?
צריך שיהיה להם איך להכניס HTML. עכשיו אם מה שיעשה את בעל האתר רגוע זה סינון SCRIPT, אני אסנן. אבל זאת ממש לא הגנה, ואני לא רואה בעיה בלסמוך על אנשים.
__________________
עומר,
admin [@] rely.co.il

בניית אתרים Rely

סלנג מילון סלנג utter
  Reply With Quote
השב

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)
 

« אשכול קודם | אשכול הבא »

חוקי פירסום
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is מופעל
סמיילים הם מופעל
[IMG] קוד מופעל
קוד HTML מכובה
קפיצה לפורום


כל הזמנים הם GMT +2. הזמן כעת הוא 08:44.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ
- שרת ייעודי - מדריך בניית אתרים - צור קשר - הוסטס - אחסון אתרים - ארכיון - ראשי