04-11-07, 07:23 | # 21 |
תודה על תרומתך.
|
לפותח האשכול... כל הכבוד על היוזמה
ולנושא, זאת הטעות העיקרית רבים נוטים לחשוב שחסימת מילים ב GET היא הפתרון או רבע פתרון או חלק קטן של הפתרון. אז זהו שלא ואני אציין למה : 1. יש כל כך הרבה מילים, שאני בטוח ששום רשימה כאן לא מקיפה את כולם. 2. אפשר להכניס את המילים האלה לא רק ב GET אלה גם דרך POST ודרך COOKIE ואפילו דרך FILES אז למה לעשות סינון רק ל GET 3. האפשרות הזאת של הסינון רק מכבידה על האתר , להעביר רשימה כל כך ארוכה על 3-4 סופר גלובלס העיקריים, לוקחת בעיקר משאבים שיאטו את הטעינה של האתר גם אם בפועל לא בוצעה פעולה. 4. נניח וזה באמת עובד, חשבתם על זה שזה יכול לחסום דברים חשובים ולהרוס פעולות לדוגמא : PHP קוד:
דרך הרבה יותר טובה היא לכתוב קוד נכון ככה שגם אם יכניסו את המילים האלה זה לא ישפיע האתר. סתם נקודה למחשבה.
__________________
|
04-11-07, 08:49 | # 22 |
מתאורר / יצא בחוץ
|
צודק.....
טוב, דבר ראשון כל הכבוד על הפרסום דבר שני, תעבוד עם רווחים, אני פעם עבדתי כמו שאתה עובד עכשיו, אבל אם אתה עכשיו בא לערוך שם משהו, זה מסובך :\ אתה תבין את הקוד של עצמך יותרטוב עם תעשה רווחים אחרי כל{ דוגמא: PHP קוד:
את כל החלק PHP קוד:
PHP קוד:
|
04-11-07, 09:00 | # 23 |
תודה על תרומתך.
|
יש פה טעות :
PHP קוד:
מהפעולה השניה והלאה היית צריך לעשות את הפעולות על המשתנה $query
__________________
|
04-11-07, 09:51 | # 24 |
חבר בקהילה
|
תודה רבה.
__________________
מתכנת PHP ו - Mysql. |
04-11-07, 13:20 | # 25 |
A Al Alm Almo Almog!
תודה על תרומתך! |
חסימת מילים?!
למה לחסום מילים?? אם חוסמים רק את התווים, שיכולים לגרום לקח, שאותם המילים במקום לשמש כקלט, יהיו חלק ממשפט או תנאי בSQL או בקוד עצמו זה דאי ביותר(כמובן רק בשלב הזה של קבלת הקלט). בכמה וכמה מהמערכות האחרונות שלי אני מפעיל את אותה שיטת אבטחה(וכמובן שאין בה חסימת מילים), והיא עובדת... לא הבנתי מה הרעיון בלחסום מילים, יכול להיות שזו איזו בעיה ב PHP? כי ב ASP בכל מיקרה אין שום בעיה עם מילים, אלא עם תווים.. בכל מיקרה יוזמה יפה, ובהצלחה בהמשך הדרך |
04-11-07, 13:41 | # 26 |
חבר בקהילה
|
אני חוסם גם מילים וגם תווים.
שיהיה על כל מקרה, אם ימצאו איזה דרך בhex או משהו. תודה
__________________
מתכנת PHP ו - Mysql. |
05-11-07, 00:32 | # 28 |
חבר חדש
|
אבטחה נחמדה, לא תעזור במיוחד ניתן לעקוף אותה בכמה שניות, נגיד ורשמתי union או select לא ניסתי לפרוץ, רשמתי רק UNION וזה חסם אותי תנסה לבנות באמת אבטחה או לא סתם עמוד שחסום כמה מילים בGET.
|
05-11-07, 09:03 | # 29 |
חבר בקהילה
|
זה שסתם רשמת זו לא הבעיה שלי, אתה לא אמור לרשום את זה.
ואני כתבתי כבר, שזו אבטחה פשוטה של חסימת מילים\תווים בGET.
__________________
מתכנת PHP ו - Mysql. |
05-11-07, 17:13 | # 30 |
חבר בקהילה
|
אחלה יוזמה אבל אני ממליץ לך כל פעם לחדש את הסקריפט ולערוך אותו ככל שאתה משתפר
|
חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים) | |
|
|