SecureMe v1.0 - עמוד 3 - הוסטס

RS324 · 04-11-07, 07:23

לפותח האשכול... כל הכבוד על היוזמה

ולנושא, זאת הטעות העיקרית
רבים נוטים לחשוב שחסימת מילים ב GET היא הפתרון או רבע פתרון או חלק קטן של הפתרון.
אז זהו שלא ואני אציין למה :

1. יש כל כך הרבה מילים, שאני בטוח ששום רשימה כאן לא מקיפה את כולם.
2. אפשר להכניס את המילים האלה לא רק ב GET אלה גם דרך POST ודרך COOKIE ואפילו דרך FILES אז למה לעשות סינון רק ל GET
3. האפשרות הזאת של הסינון רק מכבידה על האתר , להעביר רשימה כל כך ארוכה על 3-4 סופר גלובלס העיקריים, לוקחת בעיקר משאבים שיאטו את הטעינה של האתר גם אם בפועל לא בוצעה פעולה.
4. נניח וזה באמת עובד, חשבתם על זה שזה יכול לחסום דברים חשובים ולהרוס פעולות לדוגמא :

PHP קוד:


			
index.php?mod=users&act=select&userid=55

במקרה כזה דפקתי את כל הפעולה.

דרך הרבה יותר טובה היא לכתוב קוד נכון ככה שגם אם יכניסו את המילים האלה זה לא ישפיע האתר.
סתם נקודה למחשבה.

~~HighA~~ · 04-11-07, 08:49

צודק.....
טוב, דבר ראשון כל הכבוד על הפרסום
דבר שני, תעבוד עם רווחים, אני פעם עבדתי כמו שאתה עובד עכשיו, אבל אם אתה עכשיו בא לערוך שם משהו, זה מסובך :\
אתה תבין את הקוד של עצמך יותרטוב עם תעשה רווחים אחרי כל{
דוגמא:

PHP קוד:


			
<?php

$a=3;

if($a<5){

    echo "A is smaller then 5";

}

?>

דבר שלישי, לא ממש בדקתי את כל המערכת, נכנסתי רק לקובץ secme.php
את כל החלק

PHP קוד:


			
<?php

$query = str_replace("''", "'", $_SERVER['REQUEST_URI']);

$query = str_replace("''", "'", $_SERVER['REQUEST_URI']);

$query = addslashes($_SERVER['REQUEST_URI']);

$query = mysql_escape_string($_SERVER['REQUEST_URI']);

htmlspecialchars($query);

?>

לא מספיק

PHP קוד:


			
$query = mysql_escape_string($_SERVER['REQUEST_URI']);

$query=htmlspecialchars($query);

?

RS324 · 04-11-07, 09:00

יש פה טעות :

PHP קוד:


			


<?php

$query = str_replace("''", "'", $_SERVER['REQUEST_URI']);

$query = str_replace("''", "'", $_SERVER['REQUEST_URI']);

$query = addslashes($_SERVER['REQUEST_URI']);

$query = mysql_escape_string($_SERVER['REQUEST_URI']);

htmlspecialchars($query);

?>

כל פעולה אתה מבטל את הפעולה הקודמת
מהפעולה השניה והלאה היית צריך לעשות את הפעולות על המשתנה $query

talbeno · 04-11-07, 09:51

תודה רבה.

somebody · 04-11-07, 13:20

חסימת מילים?!

למה לחסום מילים??
אם חוסמים רק את התווים, שיכולים לגרום לקח, שאותם המילים במקום לשמש כקלט, יהיו חלק ממשפט או תנאי בSQL או בקוד עצמו זה דאי ביותר(כמובן רק בשלב הזה של קבלת הקלט).

בכמה וכמה מהמערכות האחרונות שלי אני מפעיל את אותה שיטת אבטחה(וכמובן שאין בה חסימת מילים), והיא עובדת...
לא הבנתי מה הרעיון בלחסום מילים, יכול להיות שזו איזו בעיה ב PHP? כי ב ASP בכל מיקרה אין שום בעיה עם מילים, אלא עם תווים..

בכל מיקרה יוזמה יפה, ובהצלחה בהמשך הדרך

talbeno · 04-11-07, 13:41

אני חוסם גם מילים וגם תווים.
שיהיה על כל מקרה, אם ימצאו איזה דרך בhex או משהו.

תודה

DDRHOSTING · 04-11-07, 15:11

אחלה יוזמה

Daniel-H · 05-11-07, 00:32

אבטחה נחמדה, לא תעזור במיוחד ניתן לעקוף אותה בכמה שניות, נגיד ורשמתי union או select לא ניסתי לפרוץ, רשמתי רק UNION וזה חסם אותי תנסה לבנות באמת אבטחה או לא סתם עמוד שחסום כמה מילים בGET.

talbeno · 05-11-07, 09:03

זה שסתם רשמת זו לא הבעיה שלי, אתה לא אמור לרשום את זה.

ואני כתבתי כבר, שזו אבטחה פשוטה של חסימת מילים\תווים בGET.

Elad-P · 05-11-07, 17:13

אחלה יוזמה אבל אני ממליץ לך כל פעם לחדש את הסקריפט ולערוך אותו ככל שאתה משתפר

04-11-07, 07:23	# 21
RS324 תודה על תרומתך. מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 3,173	לפותח האשכול... כל הכבוד על היוזמה ולנושא, זאת הטעות העיקרית רבים נוטים לחשוב שחסימת מילים ב GET היא הפתרון או רבע פתרון או חלק קטן של הפתרון. אז זהו שלא ואני אציין למה : 1. יש כל כך הרבה מילים, שאני בטוח ששום רשימה כאן לא מקיפה את כולם. 2. אפשר להכניס את המילים האלה לא רק ב GET אלה גם דרך POST ודרך COOKIE ואפילו דרך FILES אז למה לעשות סינון רק ל GET 3. האפשרות הזאת של הסינון רק מכבידה על האתר , להעביר רשימה כל כך ארוכה על 3-4 סופר גלובלס העיקריים, לוקחת בעיקר משאבים שיאטו את הטעינה של האתר גם אם בפועל לא בוצעה פעולה. 4. נניח וזה באמת עובד, חשבתם על זה שזה יכול לחסום דברים חשובים ולהרוס פעולות לדוגמא : PHP קוד: `index.php?mod=users&act=select&userid=55` במקרה כזה דפקתי את כל הפעולה. דרך הרבה יותר טובה היא לכתוב קוד נכון ככה שגם אם יכניסו את המילים האלה זה לא ישפיע האתר. סתם נקודה למחשבה. __________________ כלים לקידום אתרים בלוג PHP למתקדמים

04-11-07, 08:49	# 22
~~HighA~~ מתאורר / יצא בחוץ מיני פרופיל תאריך הצטרפות: Nov 2005 גיל: 32 הודעות: 833	צודק..... טוב, דבר ראשון כל הכבוד על הפרסום דבר שני, תעבוד עם רווחים, אני פעם עבדתי כמו שאתה עובד עכשיו, אבל אם אתה עכשיו בא לערוך שם משהו, זה מסובך :\ אתה תבין את הקוד של עצמך יותרטוב עם תעשה רווחים אחרי כל{ דוגמא: PHP קוד: `<?php $a=3; if($a<5){ echo "A is smaller then 5"; } ?>` דבר שלישי, לא ממש בדקתי את כל המערכת, נכנסתי רק לקובץ secme.php את כל החלק PHP קוד: `<?php $query = str_replace("''", "'", $_SERVER['REQUEST_URI']); $query = str_replace("''", "'", $_SERVER['REQUEST_URI']); $query = addslashes($_SERVER['REQUEST_URI']); $query = mysql_escape_string($_SERVER['REQUEST_URI']); htmlspecialchars($query); ?>` לא מספיק PHP קוד: `$query = mysql_escape_string($_SERVER['REQUEST_URI']); $query=htmlspecialchars($query);` ?

04-11-07, 09:00	# 23
RS324 תודה על תרומתך. מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 3,173	יש פה טעות : PHP קוד: `<?php $query = str_replace("''", "'", $_SERVER['REQUEST_URI']); $query = str_replace("''", "'", $_SERVER['REQUEST_URI']); $query = addslashes($_SERVER['REQUEST_URI']); $query = mysql_escape_string($_SERVER['REQUEST_URI']); htmlspecialchars($query); ?>` כל פעולה אתה מבטל את הפעולה הקודמת מהפעולה השניה והלאה היית צריך לעשות את הפעולות על המשתנה $query __________________ כלים לקידום אתרים בלוג PHP למתקדמים

04-11-07, 09:51	# 24
talbeno חבר בקהילה מיני פרופיל תאריך הצטרפות: Aug 2007 מיקום: רחובות הודעות: 165	תודה רבה. __________________ מתכנת PHP ו - Mysql.

04-11-07, 13:20	# 25
somebody A Al Alm Almo Almog! תודה על תרומתך! מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: hadera CiTy גיל: 33 הודעות: 4,005	חסימת מילים?! למה לחסום מילים?? אם חוסמים רק את התווים, שיכולים לגרום לקח, שאותם המילים במקום לשמש כקלט, יהיו חלק ממשפט או תנאי בSQL או בקוד עצמו זה דאי ביותר(כמובן רק בשלב הזה של קבלת הקלט). בכמה וכמה מהמערכות האחרונות שלי אני מפעיל את אותה שיטת אבטחה(וכמובן שאין בה חסימת מילים), והיא עובדת... לא הבנתי מה הרעיון בלחסום מילים, יכול להיות שזו איזו בעיה ב PHP? כי ב ASP בכל מיקרה אין שום בעיה עם מילים, אלא עם תווים.. בכל מיקרה יוזמה יפה, ובהצלחה בהמשך הדרך __________________ דוא"ל: almog.zimel ב ג'מייל נקודה קום מסנג'ר: almog שטרודל freetopsite נקודה co נקודה il


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

04-11-07, 13:41	# 26
talbeno חבר בקהילה מיני פרופיל תאריך הצטרפות: Aug 2007 מיקום: רחובות הודעות: 165	אני חוסם גם מילים וגם תווים. שיהיה על כל מקרה, אם ימצאו איזה דרך בhex או משהו. תודה __________________ מתכנת PHP ו - Mysql.

04-11-07, 15:11	# 27
DDRHOSTING עסק רשום [?] מיני פרופיל תאריך הצטרפות: Nov 2007 הודעות: 446	אחלה יוזמה

05-11-07, 00:32	# 28
Daniel-H חבר חדש מיני פרופיל תאריך הצטרפות: Nov 2007 הודעות: 25	אבטחה נחמדה, לא תעזור במיוחד ניתן לעקוף אותה בכמה שניות, נגיד ורשמתי union או select לא ניסתי לפרוץ, רשמתי רק UNION וזה חסם אותי תנסה לבנות באמת אבטחה או לא סתם עמוד שחסום כמה מילים בGET.

05-11-07, 09:03	# 29
talbeno חבר בקהילה מיני פרופיל תאריך הצטרפות: Aug 2007 מיקום: רחובות הודעות: 165	זה שסתם רשמת זו לא הבעיה שלי, אתה לא אמור לרשום את זה. ואני כתבתי כבר, שזו אבטחה פשוטה של חסימת מילים\תווים בGET. __________________ מתכנת PHP ו - Mysql.

05-11-07, 17:13	# 30
Elad-P חבר בקהילה מיני פרופיל תאריך הצטרפות: Sep 2007 הודעות: 319	אחלה יוזמה אבל אני ממליץ לך כל פעם לחדש את הסקריפט ולערוך אותו ככל שאתה משתפר

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)