מחפש מישהו שיבדוק לי SQL INJECTION

[Daniel]

ציטוט:

נכתב במקור על ידי Baku

אני חייב לציין שאתה פשוט בזבזן משאבים כפייתי.

גם קוקיז, גם SQL, וגם סשן.
מה הלאה? תמציא את הקוקיז?!

שלא לדבר על הפתרון המטופש נגד ספאמינג. משתמש שבטעות שלך משהוא עם טעות ורוצה לחזור עם "הקודם" ולשלוח את ההודעה מחדש בצורה מתוקנת לא יכול, בגלל ההגנה המטופשת שלך.

ברגע שהוא לוחץ הקודם ולוחץ שלח, זה מודיע לו שיש שגיאה - והאם הוא מעוניין לעדכן את ההודעה שלו. אתה מצפה שאני אתן לו לעשות הקודם שלח הקודם שלח הקודם שלח? הוא ישאל האם הוא מעוניין לעדכן. לא? לא. כן? כן.

אמרתי לך. כמה מאיות תמורת אבטחה? ואוו! כמה בזבוז משאבים! בפאנל הניהול יש עוד סשן!!! ואוו! אז מה דעתך שאתה בזבזן משאבים כפייתי? אתה יודע שככל ששם המשתנה ארוך יותר, ככה גם זמן הטעינה ארוך יותר? הרי א. זה גודל דף יותר גדול = כל הזמן שהשרת מתעסק בו עולה. ב. כשהוא קורא למשתנה, זה הרבה יותר זמן! רגע, אתה אומר לי שאתה משתמש במשתנה בשם $username במקום רק $u? בזבזן משאבים כפייתי שכמותך. ורגע, אתה אומר לי שהשם דף הראשי שלך זה index.php? מהר מהר מהר תדאג שהשרת יקרא רק את הסיומת p / בלי סיומת, כי זה פשוט בזבוז משאבים. ואל תגיד לי, אתה כותב את הקוד שלך בלי אנטרים, נכון? נו, למה אני שואל - ברור שלא. מאותה סיבה למעלה. אתה יודע שברגע שאתה כותב עברית ב-UTF, זה תופס פי 2 מקום? אז אף פעם אל תשתמש ב-UTF במסד, כי אולי המנהל האתר האנגלי בטעות יקנה מקלדת עברית ויכתוב "א" - ואז זה יתפוס עוד תוו במסד - בזבוז משאבים נוראי.

יש דברים שעליהם לא צריך להעיר. מתי היית אומר שאני משתמש באופן כפייתי? שכדי לבדוק האם משהו ארוך מאורך מסויים, אני משתמש ב-strlen במקום isset. וגם זה - עוד איכשהו. אבל בגלל שבדף התחברות והדף ניהול יש סשן? נו באמת. אם אתה רוצה לחסוך במשאבים, תבנה אתר ב-HTML בלבד. שכדי לשלוח "תגובה" - מתקשרים לבעל האתר שיוסיף. אבל זה בזבוז משאבים של בעל האתר, נכון? אז זה בסדר? אל תחליט שהשיטה שלי היא מטופשת, לפני שאתה בא אליי. "אתה רואה? למרות כל ההגנות המטופשות, חסרות מחשבה והלא נכונות שלך, פרצתי לך למערכת. לא בגלל השרת. לא בגלל שאני בעצם המנהל. לא בגלל שהשתלתי קיילוגר אצל המנהל. אלא בגלל שמצאתי פירצה". כשתגיד לי את זה - אז אני אתייחס לזה בשיא הרצינות. אבל סתם ככה?


RS324: אני יודע שרוב הפעמים זה מוגזם, אבל פשוט בניתי לי כל מיני מחלקות - לוואלידטציה(או איך שלא כותבים את זה בעברית, אימות) טפסים ויצירה שלהם - שאני עדיין עובד עליה, מחלקה למסד נתונים, ומחלקה למשתמשים. המחלקה של היצירת טפסים, מקבלת מערך, לדוג'

PHP קוד:

$form->create_form(
"DB" => array("match-table" => "cms_members", "match-values: username:username, password:md5(password)", "matches" => 1),
"username" => array("rules" => "only-lang: hebrew; max-len: 32; min-len:3;delete-default-value:true;", "title" => "שם משתמש", "default-value" => "הכנס כאן את שם המשתמש")
..PASSWORD..

); 


ואני עדיין עובד עליה - וכמובן, שהיא משתמשת במטמון במקרה הצורך.
המערכת כרגע פועלת בחלקה, ומה שנשאר זה עבודה עם AJAX במידה ויש אימות עם מסד נתונים. וכמו שאמרתי, יש מטמון שלא יקרה מצב שדבר קבוע, זה ימשיך ליצור. יש אפשרות לציין type, יש אפשרות ליצור אינפוטים קבועים - לדוג', אתה יודע שבכל הטפסים שלך יהיה קאפטצ'ה? אתה משתמש בפונקציה כדי ליצור אינפוט שתוכל לקרוא לו ב"מילה אחת", וככה גם, במידה ואני רוצה להוסיף, לדוגמא, תא כלשהו - זה בשורה אחת.


חוץ מזה, שמה שאני שולף במסד - אני לא נוגע בו. שולף אותו כמו שהוא. כי אם יש שם משהו - זה אומר שמישהו נכנס למסד/לקבצים, ואם מישהו נכנס לשם - הוא גם יוריד את השורה שמסננת את הפלט. למרות, שאני שוקל, עם הפרנואידיות שלי XD, את הקבצים של המערכת - להצפין ב-ioncube וב-Zend Guard, ובמסד, לדאוג שהכל יוצפן(כולל השמות טבלאות וטורים) לפי seed מסויים, שיתחלף נגיד תוך שבוע - ובמידה והוא מגלה שפתאום במסד מופיע ערך שלא מוצפן נכון - מעביר את כל האתר(עדיין, כשהוא מוצפן) לשרת חיצוני, כולל את המסד(כשהוא מוצפן גם הוא, בנוסף על פי עוד seed), ומודיע שהאתר יחזור בקרוב, משנה סיסמאות גישה להכל, ובשרת החיצוני, יש לבעל האתר "כפתור" להחזיר את האתר.

אבל זה כבר מוגזם P=, אבל זה יהיה נחמד, לא? וכמובן שבמחלקה של המסד נתונים, זה יחליף את שמות הטורים/הטבלאות/הערכים/הערכים עצמם בערכים המתאימים.


אני אוהב את הדיונים האלה בפורום, אבל לפי דעתי יהיה מעניין אם עוד כמה מתכנתים יגיבו, לדוג', WebProject, ועוד כמה מתכנתים שעם הזיכרון לטווח הקצר שלי אני לא זוכר P=.

[BlueNosE]

תשמע, לדעתי היה יותר נוח לך לעבוד בצורה שאני עובד, היא הרבה יותר מודולרית ומאפשרת גישה יותר רחבה מבחוץ (array_merge?)

PHP קוד:

$pageForm = new Form($tpl->formTable,'#');

$pageForm->registerInput(Array ('type' => "text",'name' => "title",'minlength' => 1,'maxlength' => 50,'title' => "כותרת העמוד:",'empty' => false));
$pageForm->registerTextarea(Array ('name' => "content",'title' => "תוכן העמוד:"));
$pageForm->registerFCKEditor("content");
    if ($tpl->skin['linksBar'])    $pageForm->registerSelect(Array ('name' => "inLinksBar",'title' => "מופיע בבאר קישורים?"),Array('1' => "כן", '0' => "לא")); 


ככה, אני משתמש בSYNTAX של השפה, וגם עובד בצורה ממש דומה לשלך.
בעיצוב של הFORM (הפרמטר הראשון), אני מזין לו מערך עיצוב, שמכיל ערכי DEFAULT ו-OVERRIDE לאינפוטים - ככה שאני יכול להחליט מראש מה אני רוצה לעשות לאינפוטים שלי.

ציטוט:

חוץ מזה, שמה שאני שולף במסד - אני לא נוגע בו. שולף אותו כמו שהוא. כי אם יש שם משהו - זה אומר שמישהו נכנס למסד/לקבצים, ואם מישהו נכנס לשם - הוא גם יוריד את השורה שמסננת את הפלט. למרות, שאני שוקל, עם הפרנואידיות שלי XD, את הקבצים של המערכת - להצפין ב-ioncube וב-Zend Guard, ובמסד, לדאוג שהכל יוצפן(כולל השמות טבלאות וטורים) לפי seed מסויים, שיתחלף נגיד תוך שבוע - ובמידה והוא מגלה שפתאום במסד מופיע ערך שלא מוצפן נכון - מעביר את כל האתר(עדיין, כשהוא מוצפן) לשרת חיצוני, כולל את המסד(כשהוא מוצפן גם הוא, בנוסף על פי עוד seed), ומודיע שהאתר יחזור בקרוב, משנה סיסמאות גישה להכל, ובשרת החיצוני, יש לבעל האתר "כפתור" להחזיר את האתר.

ברצינות, אפילו אל תחשוב על זה.
זה לא הפנטגון.