מחפש מישהו שיבדוק לי SQL INJECTION - עמוד 2 - הוסטס

**Daniel** · 08-07-08, 00:12

ציטוט:

נכתב במקור על ידי Baku

מה אתה אומר.

ואם בגלל זה הסקריפט יקרש?

אתה פונה אליי? למה אתה מתכוון "יקרש"? כי אני לא קרש =)

AlmogBaku · 08-07-08, 00:28

יקרש- ישבר, יקרוס.

וכן פניתי אליך.

BlueNosE · 08-07-08, 00:48

לא הבנתי למה אתה לא משתמש בINTVAL, דניאל, זה TYPE CASTING רגיל.
ולא הבנתי למה אמרת שהסקריפט יקרוס בגלל זה, אלמוג. מה הקשר?

AlmogBaku · 08-07-08, 09:58

במקרה הזה אומנם לא.

אבל במקרה שבו אני מזין לתוך שאילתה מספר, ולא בודק אותו עם intVal או floatVal, השאילתה פשוט תגרום למערכת לקרוס[במידה והיא לא תיקנית].
מה גם שלפעמים צריך לשקול את המצב ובמקום לבדוק אם הנתון מספר[is_numeric או is_int etc..], הרבה יותר חכם לעשות intVal. מכוון שלפעמים כשהמשתמש לא מזין מספר הוא מפסיד מזה. אך כשהמספר נדרש יש לוודא שהערך הינו מספרי.

החיים הם לא שחור לבן,
לכל פעולה יש את המטרות שלה, אסור לשלול פונקציות סתם.

**Daniel** · 08-07-08, 10:44

תכינו לעצמכם דף.
ותכתבו בו, "אני יודע שכל הנתונים שמגיעים אליי - צריכים להיות מוגני XSS ו-SQL INJECTION" = הברחת תגי HTML ו-SQL.

אצלי זה שחור לבן. מצידי, כל עוד אני יודע, ש-$this->input['val'] מוגן, לא אכפת לי לעשות,

PHP קוד:


			
SELECT dog FROM meow WHERE id='{$this->input['val']}'

המערכת לא תקרוס בגלל זה, ובאותה מידה, אתה יכול להגיד, שאם עושים מחשבון, צריך לוודא שהמספר שהכניסו לא גדול מ-2 בחזקת 32, כי אז המערכת לא תדע לחשב אותו(אלא אם כן נמיר אותו).

שחור ולבן, שחור ולבן.

הרי אני יודע שכל מידע שמגיע אליי, לפחות בלי כל השינויים, אני בחיים - בחיים בחיים - לא אצטרך להציג אותו כ-HTML.
אז למה לא לעבור עם לולאה על כל האינפוט ולסנן אותם?

BlueNosE · 08-07-08, 13:21

ולמה לא, לעבור סלקטיבית על אינפוט אחד שאתה רוצה לתקן?

לדוגמא, אצלי כבר הרבה זמן יושבת המחלקה Fetch בקוד.
היא מטפלת לי בPOST, GET, COOKIES ומערכים שאני מגדיר ידנית.
הפונקציות שהיא מכילה הן:
is שמקבילה לisset
is_empty שמקבילה לempty
is_int שמבצעת המרה לINT ע"י TYPE CASTING
is_bool, כמו למעלה
is_string
is_float
והכי חשובה -
secure - מבצעת החלפה של תווי HTML והזרקות XSS.

עכשיו, בעת קריאה לדף, הכל נכנס לARRAY בצורת ברירת מחדל - ואם צריך, אני פשוט רושם $post->secure('val') ומקבל ערך מאובטח. למשל, לTEXTAREA אני לא עושה את זה.

עכשיו בוא תסביר לי, איך $this->input['val'] מוגן, בלי לאבטח אותו אפילו פעם אחת? אתה טוען שלא צריך לבצע את הפעולה הזאת.

**Daniel** · 08-07-08, 14:25

אני אומר שהיא פועלת פאסיבית - יש לי קלאס, שמייובא בתחילת הקוד, שדואג לאבטח את הכל.

BlueNosE · 08-07-08, 15:14

לא חכם במיוחד.. אני מדגיש את העניין של TEXTAREA, לדוגמא, שצריך בסה"כ addslashes.

**Daniel** · 08-07-08, 15:51

ציטוט:

נכתב במקור על ידי BlueNosE

לא חכם במיוחד.. אני מדגיש את העניין של TEXTAREA, לדוגמא, שצריך בסה"כ addslashes.

למה? ב-textarea אפשר להכניס HTML, מה תעשה נגד זה?

BlueNosE · 08-07-08, 16:04

ציטוט:

נכתב במקור על ידי MasterT

למה? ב-textarea אפשר להכניס HTML, מה תעשה נגד זה?

אני מדבר על TEXTAREA כמו FCK או סתם אחד שמוסיף תגים ל-HEAD.
לא נתקלת באחד כזה?

08-07-08, 00:48	# 3
BlueNosE אין כמו ב127.0.0.1 מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: כפ"ס גיל: 32 הודעות: 4,086	לא הבנתי למה אתה לא משתמש בINTVAL, דניאל, זה TYPE CASTING רגיל. ולא הבנתי למה אמרת שהסקריפט יקרוס בגלל זה, אלמוג. מה הקשר? __________________ עומר, admin [@] rely.co.il בניית אתרים Rely סלנג מילון סלנג utter

08-07-08, 10:44	# 5
Daniel אחראי פורום מיני פרופיל תאריך הצטרפות: Mar 2007 הודעות: 2,875	תכינו לעצמכם דף. ותכתבו בו, "אני יודע שכל הנתונים שמגיעים אליי - צריכים להיות מוגני XSS ו-SQL INJECTION" = הברחת תגי HTML ו-SQL. אצלי זה שחור לבן. מצידי, כל עוד אני יודע, ש-$this->input['val'] מוגן, לא אכפת לי לעשות, PHP קוד: `SELECT dog FROM meow WHERE id='{$this->input['val']}'` המערכת לא תקרוס בגלל זה, ובאותה מידה, אתה יכול להגיד, שאם עושים מחשבון, צריך לוודא שהמספר שהכניסו לא גדול מ-2 בחזקת 32, כי אז המערכת לא תדע לחשב אותו(אלא אם כן נמיר אותו). שחור ולבן, שחור ולבן. הרי אני יודע שכל מידע שמגיע אליי, לפחות בלי כל השינויים, אני בחיים - בחיים בחיים - לא אצטרך להציג אותו כ-HTML. אז למה לא לעבור עם לולאה על כל האינפוט ולסנן אותם?

08-07-08, 13:21	# 6
BlueNosE אין כמו ב127.0.0.1 מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: כפ"ס גיל: 32 הודעות: 4,086	ולמה לא, לעבור סלקטיבית על אינפוט אחד שאתה רוצה לתקן? לדוגמא, אצלי כבר הרבה זמן יושבת המחלקה Fetch בקוד. היא מטפלת לי בPOST, GET, COOKIES ומערכים שאני מגדיר ידנית. הפונקציות שהיא מכילה הן: is שמקבילה לisset is_empty שמקבילה לempty is_int שמבצעת המרה לINT ע"י TYPE CASTING is_bool, כמו למעלה is_string is_float והכי חשובה - secure - מבצעת החלפה של תווי HTML והזרקות XSS. עכשיו, בעת קריאה לדף, הכל נכנס לARRAY בצורת ברירת מחדל - ואם צריך, אני פשוט רושם $post->secure('val') ומקבל ערך מאובטח. למשל, לTEXTAREA אני לא עושה את זה. עכשיו בוא תסביר לי, איך $this->input['val'] מוגן, בלי לאבטח אותו אפילו פעם אחת? אתה טוען שלא צריך לבצע את הפעולה הזאת. __________________ עומר, admin [@] rely.co.il בניית אתרים Rely סלנג מילון סלנג utter

08-07-08, 15:14	# 8
BlueNosE אין כמו ב127.0.0.1 מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: כפ"ס גיל: 32 הודעות: 4,086	לא חכם במיוחד.. אני מדגיש את העניין של TEXTAREA, לדוגמא, שצריך בסה"כ addslashes. __________________ עומר, admin [@] rely.co.il בניית אתרים Rely סלנג מילון סלנג utter


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

08-07-08, 00:28	# 2
AlmogBaku חבר וותיק מיני פרופיל תאריך הצטרפות: Nov 2007 מיקום: מודיעין הודעות: 1,022	יקרש- ישבר, יקרוס. וכן פניתי אליך.

08-07-08, 09:58	# 4
AlmogBaku חבר וותיק מיני פרופיל תאריך הצטרפות: Nov 2007 מיקום: מודיעין הודעות: 1,022	במקרה הזה אומנם לא. אבל במקרה שבו אני מזין לתוך שאילתה מספר, ולא בודק אותו עם intVal או floatVal, השאילתה פשוט תגרום למערכת לקרוס[במידה והיא לא תיקנית]. מה גם שלפעמים צריך לשקול את המצב ובמקום לבדוק אם הנתון מספר[is_numeric או is_int etc..], הרבה יותר חכם לעשות intVal. מכוון שלפעמים כשהמשתמש לא מזין מספר הוא מפסיד מזה. אך כשהמספר נדרש יש לוודא שהערך הינו מספרי. החיים הם לא שחור לבן, לכל פעולה יש את המטרות שלה, אסור לשלול פונקציות סתם.

08-07-08, 14:25	# 7
Daniel אחראי פורום מיני פרופיל תאריך הצטרפות: Mar 2007 הודעות: 2,875	אני אומר שהיא פועלת פאסיבית - יש לי קלאס, שמייובא בתחילת הקוד, שדואג לאבטח את הכל.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)