מחפש מישהו שיבדוק לי SQL INJECTION - עמוד 4 - הוסטס

**Daniel** · 10-07-08, 13:05

ציטוט:

נכתב במקור על ידי Baku

אני פשוט לא מבין מה לכל הרוחות עובד לך בראש?!

נתחיל בזה שהלוגיקה שלך פשוט לקויה- בלתי אפשרי להבין מהצד קוד שבנוי ככה.
ואמשיך בזה שאתה עושה פה פעולה מיותרת- הרי גם ככה אתה שומר את כל התוכן למשנה מסויים, ועושה פעולה ספציפית. באותה מידה תאבטח את הקוד תמיד. זו אותה פעולה- להכניס למשתנה ספציפי או לקרא לפונקציה ספציפית. אותה עבודה.

זה פשוט מיותר. אל תנסה להיות בכוח גאון הדור.
רק שאתה עושה את זה בתוספת של עוד מתודה מיותרת שאף אחד לא צריך בכלל.

אני לא מבין למה אתה מתכוון - בלתי אפשרי להבין מהצד קוד שבנוי ככה? במקום $_POST, אתה משתמש ב-$this->input.

זה נכון שבאותה המידה אפשר לעשות, $this->input('val') - ואז זה עוד קריאה לפונקציה - משאבים, משאבים, שבאמת בהבדל של כמה מאיות?

תגיד לי אתה. אתה היית מחליף כמה מאיות(בדוק, כשיש כמה עשרות דברים ב-GET וב-POST, שאין סיכוי שזה יגיע למצב כזה) בעד אבטחה שאתה יודע שהיא מלאה? רק תענה, בכן או לא.

ולא הגבת על הנקודה שהצגתי - אם גם vBulletion, וגם IPB, וגם עוד כמה מערכות גדולות משתמשות בדיוק בשיטה הזאת - זה לא מראה שזה לא בטוח טעייה?

BlueNosE: ברגע שאתה לא מסנן נכון - זה כמו להשאיר דלת לא נעולה לפורץ...
אתה עושה תגובות עם עורך חכם באתר. זה נחמד לסמוך על כל המשתמשים, אבל לפי דעתי - זה מאוד לא נכון להשאיר ללקוח את הטרחה הזאת. כשאני גומר את העבודה ללקוח שלי, אני בודק את כל הזווית האפשריות. אם כשאני אומר, "אני יכול לפרוץ את זה" - אני מתכוון לזה? אני אעבוד על המערכת, עד שזה כבר לא יהיה נכון.

מילא שיהיה IFRAME, מילא. מילא שזה יעביר לאתר אחר, זה גם מילא. אבל אם אתה נותן אפשרות לשים JS, שאפשר בפוטנציאליות להשיג מזה את השם משתמש והסיסמא?

שניהם, רק תגידו, בעד כמה מאיות בהנחה שיש עשרות קלטים, אתם "תקנו" אבטחה מלאה לאתרכם?

וזה רק צד אחד למטבע, לא דיברנו על פלודינג - שגם בזה הכל מטופל אוטומטית, בתוספת של עוד מאיה בערך. אז בעד 4 מאיות, הייתם קונים אבטחה מלאה? שאתם יודעים 100% שהיא מלאה? זה השאלה, כן או לא.

BlueNosE · 10-07-08, 13:25

ציטוט:

נכתב במקור על ידי MasterT

אני לא מבין למה אתה מתכוון - בלתי אפשרי להבין מהצד קוד שבנוי ככה? במקום $_POST, אתה משתמש ב-$this->input.

זה נכון שבאותה המידה אפשר לעשות, $this->input('val') - ואז זה עוד קריאה לפונקציה - משאבים, משאבים, שבאמת בהבדל של כמה מאיות?

תגיד לי אתה. אתה היית מחליף כמה מאיות(בדוק, כשיש כמה עשרות דברים ב-GET וב-POST, שאין סיכוי שזה יגיע למצב כזה) בעד אבטחה שאתה יודע שהיא מלאה? רק תענה, בכן או לא.

ולא הגבת על הנקודה שהצגתי - אם גם vBulletion, וגם IPB, וגם עוד כמה מערכות גדולות משתמשות בדיוק בשיטה הזאת - זה לא מראה שזה לא בטוח טעייה?

BlueNosE: ברגע שאתה לא מסנן נכון - זה כמו להשאיר דלת לא נעולה לפורץ...
אתה עושה תגובות עם עורך חכם באתר. זה נחמד לסמוך על כל המשתמשים, אבל לפי דעתי - זה מאוד לא נכון להשאיר ללקוח את הטרחה הזאת. כשאני גומר את העבודה ללקוח שלי, אני בודק את כל הזווית האפשריות. אם כשאני אומר, "אני יכול לפרוץ את זה" - אני מתכוון לזה? אני אעבוד על המערכת, עד שזה כבר לא יהיה נכון.

מילא שיהיה IFRAME, מילא. מילא שזה יעביר לאתר אחר, זה גם מילא. אבל אם אתה נותן אפשרות לשים JS, שאפשר בפוטנציאליות להשיג מזה את השם משתמש והסיסמא?

שניהם, רק תגידו, בעד כמה מאיות בהנחה שיש עשרות קלטים, אתם "תקנו" אבטחה מלאה לאתרכם?

וזה רק צד אחד למטבע, לא דיברנו על פלודינג - שגם בזה הכל מטופל אוטומטית, בתוספת של עוד מאיה בערך. אז בעד 4 מאיות, הייתם קונים אבטחה מלאה? שאתם יודעים 100% שהיא מלאה? זה השאלה, כן או לא.

אוי אתה איבדת אותי מזמן..
אני לא מדבר על עבודה מול משתמשים. ברור שצריך לאבטח את זה. אי אפשר לתת למשתמשים לפרסם סקריפטים או סטייל באתר, וכעיקרון הרבה יותר חכם להגביל אותם בתגים שאתה כן רוצה שהם יפרסמו במקום בכאלו שאתה לא רוצה.

אני בכלל דיברתי על זה שאמרת ש"אם לקוח רוצה לתת גישה למנהלים". אין מה לעשות נגד זה.

ד"א, אין הרבה היגיון בלעבוד עם COOKIES לשמירת מידע משתמש. אם הצליחו איכשהו לסנן לך JS לאתר, אם דרך הFTP או דרך האתר עצמו, המידע שלך הלך.

אני אשמח להבין איך אפשר להגן FLOODING ועם זאת לא לחסום משתמשים שבטעות שלחו פעמיים בצורה אוטומטית.

**Daniel** · 10-07-08, 13:45

ציטוט:

נכתב במקור על ידי BlueNosE

אוי אתה איבדת אותי מזמן..
אני לא מדבר על עבודה מול משתמשים. ברור שצריך לאבטח את זה. אי אפשר לתת למשתמשים לפרסם סקריפטים או סטייל באתר, וכעיקרון הרבה יותר חכם להגביל אותם בתגים שאתה כן רוצה שהם יפרסמו במקום בכאלו שאתה לא רוצה.

אני בכלל דיברתי על זה שאמרת ש"אם לקוח רוצה לתת גישה למנהלים". אין מה לעשות נגד זה.

ד"א, אין הרבה היגיון בלעבוד עם COOKIES לשמירת מידע משתמש. אם הצליחו איכשהו לסנן לך JS לאתר, אם דרך הFTP או דרך האתר עצמו, המידע שלך הלך.

אני אשמח להבין איך אפשר להגן FLOODING ועם זאת לא לחסום משתמשים שבטעות שלחו פעמיים בצורה אוטומטית.

אני אישית משתמש בקוקיס ובסשן, יש אימות IP, יוזר אייג'נט, ואת כל הפרטים שהצלחתי לדלות.

אני עובד לפי השיטה הבאה. אף פעם אתה לא חוסם משתמש חסימה תמידית. כשיש דברים רגישים, דבר ראשון, כל טופס שנשלח יש לו formid - שזה seed אקראי שמוצפן ב-MD5/SHA1. במידה ואותו ה-formid נשלח פעמיים ברצף - אתה מתריע למשתמש שכנראה התבצעה שגיאה.

אני לא רוצה לספר את השיטה המדוייקת שלי - הרי כך היא תיהיה קצת פחות אפקטיבית, אבל אם מישהו באמת ירצה להציף משהו שעבדתי עליו - הוא יסבול מאוד. כמו כן, אני תומך בקאפטצ'ה פרי =) לא צריך קאפטצ'ה.

BlueNosE · 10-07-08, 14:21

לעבוד עם סשן הפסקתי מזמן.. הרבה יותר נוח טבלת סשנים במסד, וזה דיי מקובל לעבוד עם טבלה.
עם קוקיז הפסקתי ברגע שאיפשרתי הכנסת סקריפטים לעמוד אישי ומישהו ניסה להשיג ככה את העוגיות של המשתמשים שלי.

בקשר לFORMID.
אני לא חושב שהשיטה הזאת כ"כ יעילה, כי שוב, אם משתמש בטעות שלח פעמיים ברצף אותו טופס?
אני לא יודע, יש הבדלים מהותיים בשיטות עבודה שלנו, ולדעתי לעבוד עם טבלת סשנים זה שמיים וארץ מול סשן רגיל.

**Daniel** · 10-07-08, 14:42

ציטוט:

נכתב במקור על ידי BlueNosE

לעבוד עם סשן הפסקתי מזמן.. הרבה יותר נוח טבלת סשנים במסד, וזה דיי מקובל לעבוד עם טבלה.
עם קוקיז הפסקתי ברגע שאיפשרתי הכנסת סקריפטים לעמוד אישי ומישהו ניסה להשיג ככה את העוגיות של המשתמשים שלי.

בקשר לFORMID.
אני לא חושב שהשיטה הזאת כ"כ יעילה, כי שוב, אם משתמש בטעות שלח פעמיים ברצף אותו טופס?
אני לא יודע, יש הבדלים מהותיים בשיטות עבודה שלנו, ולדעתי לעבוד עם טבלת סשנים זה שמיים וארץ מול סשן רגיל.

גם וגם, הסשן זה לאימות נוסף, יש לי טבלה cms_members_sessions

עוגיות הם רק לאקסטרה., אבל אני הכנתי משהו, ולא מכניסים לשם JS =)

אני יודע! אני עובד מול טבלת סשנים! אבל הסשן זה עוד אימות קטנטן.

BlueNosE · 10-07-08, 16:50

טוב אז בוא נסכם על דבר אחד:
אתה מסכים איתי, שלשמור כפל נתונים בזכרון השרת בלי שום סיבה (נתון מאובטח ונתון לא מאובטח), זה בזבוז משאבים - אפילו אם הקטן ביותר?
ואתה מסכים איתי שאם התוצאה היא שאני ואתה עובדים באותה רמת אבטחה מבחינת התוצר הסופי, ואני לא שומר נתונים כפולים, אז אתה מבזבז יותר משאבים?

אם כן - זהו, כאן זו רק שאלה של הרגלי עבודה. לדעתי יותר חכם לעבוד ככה, לדעתך מהשיקולים שלך יותר חכם לעבוד אחרת.. מקובל עלי, למרות שאני לא מוצא בזה הרבה היגיון.

**Daniel** · 10-07-08, 17:00

ציטוט:

נכתב במקור על ידי BlueNosE

טוב אז בוא נסכם על דבר אחד:
אתה מסכים איתי, שלשמור כפל נתונים בזכרון השרת בלי שום סיבה (נתון מאובטח ונתון לא מאובטח), זה בזבוז משאבים - אפילו אם הקטן ביותר?
ואתה מסכים איתי שאם התוצאה היא שאני ואתה עובדים באותה רמת אבטחה מבחינת התוצר הסופי, ואני לא שומר נתונים כפולים, אז אתה מבזבז יותר משאבים?

אם כן - זהו, כאן זו רק שאלה של הרגלי עבודה. לדעתי יותר חכם לעבוד ככה, לדעתך מהשיקולים שלך יותר חכם לעבוד אחרת.. מקובל עלי, למרות שאני לא מוצא בזה הרבה היגיון.

מי אמר שאני שומר נתונים כפולים? יש לי רק $this->input, במידה ואני רוצה משהו שלא יהיה באינפוט - בתחילת הדף, אני "מודיע" לו שבמקום לסנן אותו, לא יסנן. המערכים הכפולים נמחקים.

AlmogBaku · 10-07-08, 17:01

אני חייב לציין שאתה פשוט בזבזן משאבים כפייתי.

גם קוקיז, גם SQL, וגם סשן.
מה הלאה? תמציא את הקוקיז?!

שלא לדבר על הפתרון המטופש נגד ספאמינג. משתמש שבטעות שלך משהוא עם טעות ורוצה לחזור עם "הקודם" ולשלוח את ההודעה מחדש בצורה מתוקנת לא יכול, בגלל ההגנה המטופשת שלך.

RS324 · 11-07-08, 00:20

וויכוח ארוך וטיפשי כולכם אומרים בעצם כמעט את אותו הדבר

השיטה שאני משתמש , באופן אוטומטי אני עובר על המערכים של GET POST REQUEST SESSION ו COOKIE
ומחליף את כל התווים כדוגמאת " , ' וכו' בקוד ASCII שלהם

בעת הכנסה למסד אני גם עושה מעבר אוטומטי על המערך שאני מכניס למסד ובודק אם זה ערך מספרי מוסיף לו INTVAL / FLOATVAL ואם זה טקסט אז מוסיף ADDSLASES
באופן אוטומטי ושומר את זה במסד.
כמובן שאני מסנן מ SCRIPT וכד'
בהצגה אני מחליף את זה את הקודים של ה ASCII בחזרה ל <>" , ' ודומיהם... אבל לא תמיד, תלוי בתצוגה , אם זה משהו שמנהל הכניס (לדוגמא מתוך TINYMCE - אז כן)
אם לא אז אני לא מחליף ובמקרה הכי גרוע זה מוצג כ ASCII על המסך...

אני מריץ את הפעולות האלה בהתחלת הסקריפט ומאז משתמש ישר במשתנים של ה POST וכד'
לא צריך לבנות מערכים ולהמציא מחדש בשביל זה
אם יש משהו שדורש יחס מיוחד אז אני עושה את זה פרטני, פשוט וקל...

הסתבכתם לגמרי עם כל הנושא
ד"א

MASTER T אל תהיה כזה פרנואיד, אתה לא בונה מערכת לבנק....

BlueNosE · 11-07-08, 01:16

ציטוט:

נכתב במקור על ידי RS324

וויכוח ארוך וטיפשי כולכם אומרים בעצם כמעט את אותו הדבר

השיטה שאני משתמש , באופן אוטומטי אני עובר על המערכים של GET POST REQUEST SESSION ו COOKIE
ומחליף את כל התווים כדוגמאת " , ' וכו' בקוד ASCII שלהם

בעת הכנסה למסד אני גם עושה מעבר אוטומטי על המערך שאני מכניס למסד ובודק אם זה ערך מספרי מוסיף לו INTVAL / FLOATVAL ואם זה טקסט אז מוסיף ADDSLASES
באופן אוטומטי ושומר את זה במסד.
כמובן שאני מסנן מ SCRIPT וכד'
בהצגה אני מחליף את זה את הקודים של ה ASCII בחזרה ל <>" , ' ודומיהם... אבל לא תמיד, תלוי בתצוגה , אם זה משהו שמנהל הכניס (לדוגמא מתוך TINYMCE - אז כן)
אם לא אז אני לא מחליף ובמקרה הכי גרוע זה מוצג כ ASCII על המסך...

אני מריץ את הפעולות האלה בהתחלת הסקריפט ומאז משתמש ישר במשתנים של ה POST וכד'
לא צריך לבנות מערכים ולהמציא מחדש בשביל זה
אם יש משהו שדורש יחס מיוחד אז אני עושה את זה פרטני, פשוט וקל...

הסתבכתם לגמרי עם כל הנושא

זה לא נכון שהסתבכנו, הויכוח הוא כמה זה תורם מבחינה אבטחתית להשתמש במה שאתה משתמש לעומת מה שאני משתמש (איבטוח אינדבידואלי של משתנים).
אתה בא ומחזק את הטענה של דניאל, אבל לדעתי זה עניין של נוחות כתיבה.. לי יותר נוח ליצור מערך ולהחליט אם אני רוצה לעשות מניפולציה על משתנים, לך נוח לקבל אותם מוכנים.

אני גם לא אוהב להתחיל להתעסק עם קוד אחרי שקיבלתי אותו מהמסד. אני אוהב לשלוף ולכתוב כמו שהוא. אז אתה עושה גם בשליפה טיפולים, אני מעדיף לשלוח את זה מאובטח - שוב, בחירה של המתכנת.

10-07-08, 14:21	# 34
BlueNosE אין כמו ב127.0.0.1 מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: כפ"ס גיל: 32 הודעות: 4,086	לעבוד עם סשן הפסקתי מזמן.. הרבה יותר נוח טבלת סשנים במסד, וזה דיי מקובל לעבוד עם טבלה. עם קוקיז הפסקתי ברגע שאיפשרתי הכנסת סקריפטים לעמוד אישי ומישהו ניסה להשיג ככה את העוגיות של המשתמשים שלי. בקשר לFORMID. אני לא חושב שהשיטה הזאת כ"כ יעילה, כי שוב, אם משתמש בטעות שלח פעמיים ברצף אותו טופס? אני לא יודע, יש הבדלים מהותיים בשיטות עבודה שלנו, ולדעתי לעבוד עם טבלת סשנים זה שמיים וארץ מול סשן רגיל. __________________ עומר, admin [@] rely.co.il בניית אתרים Rely סלנג מילון סלנג utter

10-07-08, 16:50	# 36
BlueNosE אין כמו ב127.0.0.1 מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: כפ"ס גיל: 32 הודעות: 4,086	טוב אז בוא נסכם על דבר אחד: אתה מסכים איתי, שלשמור כפל נתונים בזכרון השרת בלי שום סיבה (נתון מאובטח ונתון לא מאובטח), זה בזבוז משאבים - אפילו אם הקטן ביותר? ואתה מסכים איתי שאם התוצאה היא שאני ואתה עובדים באותה רמת אבטחה מבחינת התוצר הסופי, ואני לא שומר נתונים כפולים, אז אתה מבזבז יותר משאבים? אם כן - זהו, כאן זו רק שאלה של הרגלי עבודה. לדעתי יותר חכם לעבוד ככה, לדעתך מהשיקולים שלך יותר חכם לעבוד אחרת.. מקובל עלי, למרות שאני לא מוצא בזה הרבה היגיון. __________________ עומר, admin [@] rely.co.il בניית אתרים Rely סלנג מילון סלנג utter

11-07-08, 00:20	# 39
RS324 תודה על תרומתך. מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 3,173	וויכוח ארוך וטיפשי כולכם אומרים בעצם כמעט את אותו הדבר השיטה שאני משתמש , באופן אוטומטי אני עובר על המערכים של GET POST REQUEST SESSION ו COOKIE ומחליף את כל התווים כדוגמאת " , ' וכו' בקוד ASCII שלהם בעת הכנסה למסד אני גם עושה מעבר אוטומטי על המערך שאני מכניס למסד ובודק אם זה ערך מספרי מוסיף לו INTVAL / FLOATVAL ואם זה טקסט אז מוסיף ADDSLASES באופן אוטומטי ושומר את זה במסד. כמובן שאני מסנן מ SCRIPT וכד' בהצגה אני מחליף את זה את הקודים של ה ASCII בחזרה ל <>" , ' ודומיהם... אבל לא תמיד, תלוי בתצוגה , אם זה משהו שמנהל הכניס (לדוגמא מתוך TINYMCE - אז כן) אם לא אז אני לא מחליף ובמקרה הכי גרוע זה מוצג כ ASCII על המסך... אני מריץ את הפעולות האלה בהתחלת הסקריפט ומאז משתמש ישר במשתנים של ה POST וכד' לא צריך לבנות מערכים ולהמציא מחדש בשביל זה אם יש משהו שדורש יחס מיוחד אז אני עושה את זה פרטני, פשוט וקל... הסתבכתם לגמרי עם כל הנושא ד"א MASTER T אל תהיה כזה פרנואיד, אתה לא בונה מערכת לבנק.... __________________ כלים לקידום אתרים בלוג PHP למתקדמים


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

10-07-08, 17:01	# 38
AlmogBaku חבר וותיק מיני פרופיל תאריך הצטרפות: Nov 2007 מיקום: מודיעין הודעות: 1,022	אני חייב לציין שאתה פשוט בזבזן משאבים כפייתי. גם קוקיז, גם SQL, וגם סשן. מה הלאה? תמציא את הקוקיז?! שלא לדבר על הפתרון המטופש נגד ספאמינג. משתמש שבטעות שלך משהוא עם טעות ורוצה לחזור עם "הקודם" ולשלוח את ההודעה מחדש בצורה מתוקנת לא יכול, בגלל ההגנה המטופשת שלך.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)