מחפש מישהו שיבדוק לי SQL INJECTION - הוסטס

AlmogBaku · 10-07-08, 11:53

אני פשוט לא מבין מה לכל הרוחות עובד לך בראש?!

נתחיל בזה שהלוגיקה שלך פשוט לקויה- בלתי אפשרי להבין מהצד קוד שבנוי ככה.
ואמשיך בזה שאתה עושה פה פעולה מיותרת- הרי גם ככה אתה שומר את כל התוכן למשנה מסויים, ועושה פעולה ספציפית. באותה מידה תאבטח את הקוד תמיד. זו אותה פעולה- להכניס למשתנה ספציפי או לקרא לפונקציה ספציפית. אותה עבודה.

זה פשוט מיותר. אל תנסה להיות בכוח גאון הדור.
רק שאתה עושה את זה בתוספת של עוד מתודה מיותרת שאף אחד לא צריך בכלל.

**Daniel** · 10-07-08, 13:05

ציטוט:

נכתב במקור על ידי Baku

אני פשוט לא מבין מה לכל הרוחות עובד לך בראש?!

נתחיל בזה שהלוגיקה שלך פשוט לקויה- בלתי אפשרי להבין מהצד קוד שבנוי ככה.
ואמשיך בזה שאתה עושה פה פעולה מיותרת- הרי גם ככה אתה שומר את כל התוכן למשנה מסויים, ועושה פעולה ספציפית. באותה מידה תאבטח את הקוד תמיד. זו אותה פעולה- להכניס למשתנה ספציפי או לקרא לפונקציה ספציפית. אותה עבודה.

זה פשוט מיותר. אל תנסה להיות בכוח גאון הדור.
רק שאתה עושה את זה בתוספת של עוד מתודה מיותרת שאף אחד לא צריך בכלל.

אני לא מבין למה אתה מתכוון - בלתי אפשרי להבין מהצד קוד שבנוי ככה? במקום $_POST, אתה משתמש ב-$this->input.

זה נכון שבאותה המידה אפשר לעשות, $this->input('val') - ואז זה עוד קריאה לפונקציה - משאבים, משאבים, שבאמת בהבדל של כמה מאיות?

תגיד לי אתה. אתה היית מחליף כמה מאיות(בדוק, כשיש כמה עשרות דברים ב-GET וב-POST, שאין סיכוי שזה יגיע למצב כזה) בעד אבטחה שאתה יודע שהיא מלאה? רק תענה, בכן או לא.

ולא הגבת על הנקודה שהצגתי - אם גם vBulletion, וגם IPB, וגם עוד כמה מערכות גדולות משתמשות בדיוק בשיטה הזאת - זה לא מראה שזה לא בטוח טעייה?

BlueNosE: ברגע שאתה לא מסנן נכון - זה כמו להשאיר דלת לא נעולה לפורץ...
אתה עושה תגובות עם עורך חכם באתר. זה נחמד לסמוך על כל המשתמשים, אבל לפי דעתי - זה מאוד לא נכון להשאיר ללקוח את הטרחה הזאת. כשאני גומר את העבודה ללקוח שלי, אני בודק את כל הזווית האפשריות. אם כשאני אומר, "אני יכול לפרוץ את זה" - אני מתכוון לזה? אני אעבוד על המערכת, עד שזה כבר לא יהיה נכון.

מילא שיהיה IFRAME, מילא. מילא שזה יעביר לאתר אחר, זה גם מילא. אבל אם אתה נותן אפשרות לשים JS, שאפשר בפוטנציאליות להשיג מזה את השם משתמש והסיסמא?

שניהם, רק תגידו, בעד כמה מאיות בהנחה שיש עשרות קלטים, אתם "תקנו" אבטחה מלאה לאתרכם?

וזה רק צד אחד למטבע, לא דיברנו על פלודינג - שגם בזה הכל מטופל אוטומטית, בתוספת של עוד מאיה בערך. אז בעד 4 מאיות, הייתם קונים אבטחה מלאה? שאתם יודעים 100% שהיא מלאה? זה השאלה, כן או לא.

BlueNosE · 10-07-08, 13:25

ציטוט:

נכתב במקור על ידי MasterT

אני לא מבין למה אתה מתכוון - בלתי אפשרי להבין מהצד קוד שבנוי ככה? במקום $_POST, אתה משתמש ב-$this->input.

זה נכון שבאותה המידה אפשר לעשות, $this->input('val') - ואז זה עוד קריאה לפונקציה - משאבים, משאבים, שבאמת בהבדל של כמה מאיות?

תגיד לי אתה. אתה היית מחליף כמה מאיות(בדוק, כשיש כמה עשרות דברים ב-GET וב-POST, שאין סיכוי שזה יגיע למצב כזה) בעד אבטחה שאתה יודע שהיא מלאה? רק תענה, בכן או לא.

ולא הגבת על הנקודה שהצגתי - אם גם vBulletion, וגם IPB, וגם עוד כמה מערכות גדולות משתמשות בדיוק בשיטה הזאת - זה לא מראה שזה לא בטוח טעייה?

BlueNosE: ברגע שאתה לא מסנן נכון - זה כמו להשאיר דלת לא נעולה לפורץ...
אתה עושה תגובות עם עורך חכם באתר. זה נחמד לסמוך על כל המשתמשים, אבל לפי דעתי - זה מאוד לא נכון להשאיר ללקוח את הטרחה הזאת. כשאני גומר את העבודה ללקוח שלי, אני בודק את כל הזווית האפשריות. אם כשאני אומר, "אני יכול לפרוץ את זה" - אני מתכוון לזה? אני אעבוד על המערכת, עד שזה כבר לא יהיה נכון.

מילא שיהיה IFRAME, מילא. מילא שזה יעביר לאתר אחר, זה גם מילא. אבל אם אתה נותן אפשרות לשים JS, שאפשר בפוטנציאליות להשיג מזה את השם משתמש והסיסמא?

שניהם, רק תגידו, בעד כמה מאיות בהנחה שיש עשרות קלטים, אתם "תקנו" אבטחה מלאה לאתרכם?

וזה רק צד אחד למטבע, לא דיברנו על פלודינג - שגם בזה הכל מטופל אוטומטית, בתוספת של עוד מאיה בערך. אז בעד 4 מאיות, הייתם קונים אבטחה מלאה? שאתם יודעים 100% שהיא מלאה? זה השאלה, כן או לא.

אוי אתה איבדת אותי מזמן..
אני לא מדבר על עבודה מול משתמשים. ברור שצריך לאבטח את זה. אי אפשר לתת למשתמשים לפרסם סקריפטים או סטייל באתר, וכעיקרון הרבה יותר חכם להגביל אותם בתגים שאתה כן רוצה שהם יפרסמו במקום בכאלו שאתה לא רוצה.

אני בכלל דיברתי על זה שאמרת ש"אם לקוח רוצה לתת גישה למנהלים". אין מה לעשות נגד זה.

ד"א, אין הרבה היגיון בלעבוד עם COOKIES לשמירת מידע משתמש. אם הצליחו איכשהו לסנן לך JS לאתר, אם דרך הFTP או דרך האתר עצמו, המידע שלך הלך.

אני אשמח להבין איך אפשר להגן FLOODING ועם זאת לא לחסום משתמשים שבטעות שלחו פעמיים בצורה אוטומטית.

**Daniel** · 10-07-08, 13:45

ציטוט:

נכתב במקור על ידי BlueNosE

אוי אתה איבדת אותי מזמן..
אני לא מדבר על עבודה מול משתמשים. ברור שצריך לאבטח את זה. אי אפשר לתת למשתמשים לפרסם סקריפטים או סטייל באתר, וכעיקרון הרבה יותר חכם להגביל אותם בתגים שאתה כן רוצה שהם יפרסמו במקום בכאלו שאתה לא רוצה.

אני בכלל דיברתי על זה שאמרת ש"אם לקוח רוצה לתת גישה למנהלים". אין מה לעשות נגד זה.

ד"א, אין הרבה היגיון בלעבוד עם COOKIES לשמירת מידע משתמש. אם הצליחו איכשהו לסנן לך JS לאתר, אם דרך הFTP או דרך האתר עצמו, המידע שלך הלך.

אני אשמח להבין איך אפשר להגן FLOODING ועם זאת לא לחסום משתמשים שבטעות שלחו פעמיים בצורה אוטומטית.

אני אישית משתמש בקוקיס ובסשן, יש אימות IP, יוזר אייג'נט, ואת כל הפרטים שהצלחתי לדלות.

אני עובד לפי השיטה הבאה. אף פעם אתה לא חוסם משתמש חסימה תמידית. כשיש דברים רגישים, דבר ראשון, כל טופס שנשלח יש לו formid - שזה seed אקראי שמוצפן ב-MD5/SHA1. במידה ואותו ה-formid נשלח פעמיים ברצף - אתה מתריע למשתמש שכנראה התבצעה שגיאה.

אני לא רוצה לספר את השיטה המדוייקת שלי - הרי כך היא תיהיה קצת פחות אפקטיבית, אבל אם מישהו באמת ירצה להציף משהו שעבדתי עליו - הוא יסבול מאוד. כמו כן, אני תומך בקאפטצ'ה פרי =) לא צריך קאפטצ'ה.


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

10-07-08, 11:53	# 1
AlmogBaku חבר וותיק מיני פרופיל תאריך הצטרפות: Nov 2007 מיקום: מודיעין הודעות: 1,022	אני פשוט לא מבין מה לכל הרוחות עובד לך בראש?! נתחיל בזה שהלוגיקה שלך פשוט לקויה- בלתי אפשרי להבין מהצד קוד שבנוי ככה. ואמשיך בזה שאתה עושה פה פעולה מיותרת- הרי גם ככה אתה שומר את כל התוכן למשנה מסויים, ועושה פעולה ספציפית. באותה מידה תאבטח את הקוד תמיד. זו אותה פעולה- להכניס למשתנה ספציפי או לקרא לפונקציה ספציפית. אותה עבודה. זה פשוט מיותר. אל תנסה להיות בכוח גאון הדור. רק שאתה עושה את זה בתוספת של עוד מתודה מיותרת שאף אחד לא צריך בכלל.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)