אבטחה - SQL - עמוד 2 - הוסטס

AlmogBaku · 10-07-09, 14:16

ציטוט:

נכתב במקור על ידי The Chosen Generl

1+

אם הפלט לא תקני צריך להחזיר ארור למשתמש/להעביר לעמוד אחר או לטפל בזה בדרך כלשהי.
לא לשנות את הבעיה...

למה שתעיף את זה? כי בתור מאבטח אתרים, כל מילה שתגיד תחשב בעניי לבדיחה.אין דבר כזה.

לגבי האימות קלט- זה תלוי, לא תמיד מעניין אותי להציג למשתמש שלי שגיאה, לפעמים זה יהיה מבחינתי "בעיה שלו".

**Tomer** · 10-07-09, 16:37

לא על כל שטות צריך להעיף למשתמש הודעת שגיאה / להרוג את הסקריפט.

אם המשתמש הכניס כמה אותיות ומספר בתור מס' עמוד, והקלט מהמשתמש עבר סינון כלשהו ע"י mysql_real_escape_string לדוגמא, אין צורך לזרוק שגיאה שהוא לא הכניס מס'. פשוט לחפש את מה שהוא הכניס במסד, בדיוק כאילו היה מס', ולזרוק שגיאה אם מס' העמוד לא נמצא (ובמידה ויש רק מספרים - תזרק שגיאה בכ"מ, כי אין עמוד עם אותיות).

אדיר · 10-07-09, 17:04

אלמוג:
אין שום פסול בהגדרה "מאבטח אתרים", עכשיו אתה מוזמן להתייחס ולעשות מה שבא לך עם מה שאני אומר.

תומר:
הרי בכל מקרה תוצג שגיאה, אז למה סתם לשלוח בקשה למסד ולבצע פעולות לא נחוצות אם אתה יודע מראש שהעמוד לא קיים?
אתה פשוט מודיע למשתמש שהקלט שהוא הכניס לא תקין/ לא קיים עמוד כזה וגומר עניין.

AlmogBaku · 11-07-09, 23:48

ציטוט:

נכתב במקור על ידי xPerfection

אלמוג:
אין שום פסול בהגדרה "מאבטח אתרים", עכשיו אתה מוזמן להתייחס ולעשות מה שבא לך עם מה שאני אומר.

תומר:
הרי בכל מקרה תוצג שגיאה, אז למה סתם לשלוח בקשה למסד ולבצע פעולות לא נחוצות אם אתה יודע מראש שהעמוד לא קיים?
אתה פשוט מודיע למשתמש שהקלט שהוא הכניס לא תקין/ לא קיים עמוד כזה וגומר עניין.

מה שפסול בזה הוא שזה מחשבים-היי טק וברשותך אתה הופך את התחום עיסוק שלי לבדיחה.
זה לא גן ילדים, אם אתה ילד ורוצה לעבוד בזה אף אחד לא מנוע ממך, רק מבקשים שלא תמציא מושגים ותטעה אחרים.

10-07-09, 16:37	# 12
Tomer Whatever מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 7,039	לא על כל שטות צריך להעיף למשתמש הודעת שגיאה / להרוג את הסקריפט. אם המשתמש הכניס כמה אותיות ומספר בתור מס' עמוד, והקלט מהמשתמש עבר סינון כלשהו ע"י mysql_real_escape_string לדוגמא, אין צורך לזרוק שגיאה שהוא לא הכניס מס'. פשוט לחפש את מה שהוא הכניס במסד, בדיוק כאילו היה מס', ולזרוק שגיאה אם מס' העמוד לא נמצא (ובמידה ויש רק מספרים - תזרק שגיאה בכ"מ, כי אין עמוד עם אותיות). __________________ תומר

10-07-09, 17:04	# 13
אדיר עסק רשום [?] מיני פרופיל תאריך הצטרפות: Mar 2008 מיקום: אשקלון הודעות: 1,714	אלמוג: אין שום פסול בהגדרה "מאבטח אתרים", עכשיו אתה מוזמן להתייחס ולעשות מה שבא לך עם מה שאני אומר. תומר: הרי בכל מקרה תוצג שגיאה, אז למה סתם לשלוח בקשה למסד ולבצע פעולות לא נחוצות אם אתה יודע מראש שהעמוד לא קיים? אתה פשוט מודיע למשתמש שהקלט שהוא הכניס לא תקין/ לא קיים עמוד כזה וגומר עניין. __________________ LinkedIn \| אני, אדיר \| העלאת תמונות


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)