[עזרה]אבטחת אתר

[kfir91]

אתה עוטף כל get באתר קודם כל ב
htmlspecialchars כדי שזה ימנע שימוש בסקריפטים ב get שזה בעצם ההזרקות sql injection
וגם ב textarea אתה שם htmlspecialchars חפש את זה בגוגל תבדוק איך עושים את זה.
עוד טיפ ל get תעשה שליפה של ה ID הכי גבוה בטבלה שלך במסד ותעשה תנאי שאם ה ID שנכנס ל get יותר גבוה ממנו אז זה יציג דף שגוי ואם לא אז יציג את הדף שהוא צריך...
ככה זה ימנע הכנסת אותיות וכו' ל GET

קוד:

$id = htmlspecialchars($_GET['newsID']);

   $limitid = "SELECT MAX(ID) FROM news";
   $limitid2=mysql_query($limitid) or die("blah");
   $limitid3= mysql_result($limitid2, 0); 

if ($id > $limitid3 || $id < 1)
{
echo "<br><br><div align='center'><img src='img/logo.jpg'><meta http-equiv=\"refresh\" content=\"1; url=$sl\" /> ";
exit();
}

[Daniel]

ציטוט:

נכתב במקור על ידי kfir91

אתה עוטף כל get באתר קודם כל ב
htmlspecialchars כדי שזה ימנע שימוש בסקריפטים ב get שזה בעצם ההזרקות sql injection
וגם ב textarea אתה שם htmlspecialchars חפש את זה בגוגל תבדוק איך עושים את זה.
עוד טיפ ל get תעשה שליפה של ה ID הכי גבוה בטבלה שלך במסד ותעשה תנאי שאם ה ID שנכנס ל get יותר גבוה ממנו אז זה יציג דף שגוי ואם לא אז יציג את הדף שהוא צריך...
ככה זה ימנע הכנסת אותיות וכו' ל GET

קוד:

$id = htmlspecialchars($_GET['newsID']);

   $limitid = "SELECT MAX(ID) FROM news";
   $limitid2=mysql_query($limitid) or die("blah");
   $limitid3= mysql_result($limitid2, 0); 

if ($id > $limitid3 || $id < 1)
{
echo "<br><br><div align='center'><img src='img/logo.jpg'><meta http-equiv=\"refresh\" content=\"1; url=$sl\" /> ";
exit();
}

ציטוט:

אתה עוטף כל get באתר קודם כל ב
htmlspecialchars כדי שזה ימנע שימוש בסקריפטים ב get שזה בעצם ההזרקות sql injection

זה XSS, וזה לא מה שימנע SQL INJECTION.

ציטוט:

עוד טיפ ל get תעשה שליפה של ה ID הכי גבוה בטבלה שלך במסד ותעשה תנאי שאם ה ID שנכנס ל get יותר גבוה ממנו אז זה יציג דף שגוי ואם לא אז יציג את הדף שהוא צריך...
ככה זה ימנע הכנסת אותיות וכו' ל GET

מה? למה? זה באמת בזבוז משאבים נוראי. למה? תן לי סיבה אחת. שיכניס מצידי 1000001. איך זה יפגע בתפקוד המערכת?

ציטוט:

וגם ב textarea אתה שם htmlspecialchars חפש את זה בגוגל תבדוק איך עושים את זה.

מה? htmlspecialchars ל-textarea באופן מיוחד? למה באופן מיוחד?

ואני יכול לנחש למה אתה מתכוון, ובאמת - זה גם, אני אצטט את המגיב מהדיון השני - "שיטה מטופשת". זה בגלל שאתה עושה nl2br ואז htmlspecialchars. מה שהסברת לו זה איך לבזבז משאבים באופן לא יעיל.

זה נחמד ומבורך לעזור, אבל אל תטעה אותו.

[kfir91]

ציטוט:

נכתב במקור על ידי MasterT

זה XSS, וזה לא מה שימנע SQL INJECTION.


מה? למה? זה באמת בזבוז משאבים נוראי. למה? תן לי סיבה אחת. שיכניס מצידי 1000001. איך זה יפגע בתפקוד המערכת?


מה? htmlspecialchars ל-textarea באופן מיוחד? למה באופן מיוחד?

ואני יכול לנחש למה אתה מתכוון, ובאמת - זה גם, אני אצטט את המגיב מהדיון השני - "שיטה מטופשת". זה בגלל שאתה עושה nl2br ואז htmlspecialchars. מה שהסברת לו זה איך לבזבז משאבים באופן לא יעיל.

זה נחמד ומבורך לעזור, אבל אל תטעה אותו.

אני משתמש ב id עם התנאי יותר לאסתטיקה ורצינות מאשר להגנה כי זה לא ממש מגן
ככה שאם לא קיים עמוד כזה הוא מראה דף עם שגיאה שאין עמוד כזה זה יותר רציני ככה.
דבר שני אפשר להכניס ב textarea סקריפטים. התג htmlspecialchars מונע את האפשרות הזאת. ולדבר הראשון שאמרת ברור שזה ימנע איך תוכל להכניס קודים שונים ל get עם יש על זה Htmlspeacilchars :\

עריכה וגם במשתמשים בתנאי הזה שרשמתי שם זה מונע אפשרות להכניס תווים לא חוקיים כמו ;,` וכו'.. (שמי שמבין בפריצות יודע שהתווים האלה הם חלק גדול)

[Daniel]

ציטוט:

נכתב במקור על ידי kfir91

אני משתמש ב id עם התנאי יותר לאסתטיקה ורצינות מאשר להגנה כי זה לא ממש מגן
ככה שאם לא קיים עמוד כזה הוא מראה דף עם שגיאה שאין עמוד כזה זה יותר רציני ככה.
דבר שני אפשר להכניס ב textarea סקריפטים. התג htmlspecialchars מונע את האפשרות הזאת. ולדבר הראשון שאמרת ברור שזה ימנע איך תוכל להכניס קודים שונים ל get עם יש על זה Htmlspeacilchars :\

למה פשוט לא לעשות שאם $DB->rows = 0.

באמת? שלח לי textarea, אני מכניס בה סקריפטים.

חיפשתי וחיפשתי, ואין שום פונקציה בשם htmlspeacilchars...

אם היה לי זמן הייתי גומר את התגובה בזה, אבל,
קוראים לזה SQL INJECTION.

[kfir91]

ציטוט:

נכתב במקור על ידי MasterT

למה פשוט לא לעשות שאם $DB->rows = 0.

באמת? שלח לי textarea, אני מכניס בה סקריפטים.

חיפשתי וחיפשתי, ואין שום פונקציה בשם htmlspeacilchars...

אם היה לי זמן הייתי גומר את התגובה בזה, אבל,
קוראים לזה SQL INJECTION.

על מה אתה מדבר איפה אתה חי במאה ה 15
ברור שיש פונקצית htmlspeacilchars חפש בגוגל.
זה ב php זה מנטרל את התגי html שאתה כותב ב textarea ו get
אם אני שם את זה בtextarea אין סיכוי שאתה מכניס סקריפטים ניסיתי ולא הלך.

[Eran-s]

ציטוט:

נכתב במקור על ידי kfir91

על מה אתה מדבר איפה אתה חי במאה ה 15
ברור שיש פונקצית htmlspeacilchars חפש בגוגל.
זה ב php זה מנטרל את התגי html שאתה כותב ב textarea ו get
אם אני שם את זה בtextarea אין סיכוי שאתה מכניס סקריפטים ניסיתי ולא הלך.

הוא רמז שאתה מתכוון ל-htmlspecialchars.

[Daniel]

ציטוט:

נכתב במקור על ידי kfir91

על מה אתה מדבר איפה אתה חי במאה ה 15
ברור שיש פונקצית htmlspeacilchars חפש בגוגל.
זה ב php זה מנטרל את התגי html שאתה כותב ב textarea ו get
אם אני שם את זה בtextarea אין סיכוי שאתה מכניס סקריפטים ניסיתי ולא הלך.

חיפשתי שוב. אין. Eran-s אני לא רומז על כלום =)

בכל מקרה, אתה אומר שזה מנטרל רק סקריפטים. HTML זה שפת תגיות, לא סקריפטים.