SQL הזרקות בGET - הוסטס

ddd789 · 30-08-07, 22:50

שלום אני רוצה לדעת איך אני יוכל לחסום את הזרקות בGET שבאמת צריכים לחסום
לא לחסום :מילים סתם מילים בבקשה איך אני עושה את זה?<

HagaiA · 30-08-07, 23:01

ביטויים רגולרים =]

ddd789 · 30-08-07, 23:02

חח זה לא ממש עוזר לי איפה ניתן למצוא מידע נוסף ?

Elad-A · 30-08-07, 23:12

מה אתה רוצה לחסום בדיוק?
שלא יכניסו קודים של HTML לשאילתה שלך?
אם כן, אתה יכול להשתמש ב mysql_escape_string / stripslashes / addslashes / htmlspecialchars

****
תשתמש במה שאתה צריך מהם..

ddd789 · 30-08-07, 23:25

אמרתי הזרקות SQL INJ בGET בכתובת

psycho · 30-08-07, 23:48

PHP קוד:


			
<?php

foreach($_GET as $key=>$value)

   $$key=strip_tags(mysql_real_escape_string($value));



// Bla bla my code

?>

מינימלי ביותר

שקד · 31-08-07, 20:34

אני אנסה לנסח את זה בצורה יותר ברורה כך שיהיה קל יותר להבין את הפיתרון לשאלתך.
יש מספר פונקציות שימושיות למיקרים האלה, פונקציה "שהורסת" כל שורה שבעצם פונה למסד נתונים, חסימת תגים ב-HTML ופונקציה שבעצם ניתן ליצור איתה סינון בכך שאתה הופך ביטוי אחת לביטוי אחר. שאלתך לא בדיוק ממוקדת ספציפית על אחת מהן לכן אני לא ירחיב על הכל, אבל כפי שאתה יכול לראות הודעה מעלי, גיא כבר ציפר אותך בסקריפט קטן שממכיש את אופן הפעולה.

במידה ותירצה ליקרוא עוד על אתה תמיד יכול להסתכל על הפונקציות עצמם:
strip_tags
mysql_real_escape_string

בהצלחה

Cream · 31-08-07, 21:00

יש לי שאלה...בקשר, מתי אני משתמש בזה? באיזה מקרה צריך לעשות את זה?
זה מין מנגנון אבטחה לא?

שקד · 31-08-07, 21:04

ציטוט:

נכתב במקור על ידי Cream

יש לי שאלה...בקשר, מתי אני משתמש בזה? באיזה מקרה צריך לעשות את זה?
זה מין מנגנון אבטחה לא?

אפשר ליקרוא לזה אבטחה, בעזרות הפונקציות השימושיות האלה מונעות פקודות אל תוך המסד נתונים ואל הדף עצמו (שבוא אתה שולף את אותו ערך).
אפשר להגיד שבעצם בלי האבטחה הזאות אפשר למחוק את כל המסד נתונים.

Cream · 31-08-07, 22:33

ציטוט:

נכתב במקור על ידי שקד

אפשר ליקרוא לזה אבטחה, בעזרות הפונקציות השימושיות האלה מונעות פקודות אל תוך המסד נתונים ואל הדף עצמו (שבוא אתה שולף את אותו ערך).
אפשר להגיד שבעצם בלי האבטחה הזאות אפשר למחוק את כל המסד נתונים.

אוקיי תודה על המידע..החשוב הזה! טוב לדעת דברים חדשים

30-08-07, 22:50	# 1
ddd789 חבר בקהילה מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 166	SQL הזרקות בGET שלום אני רוצה לדעת איך אני יוכל לחסום את הזרקות בGET שבאמת צריכים לחסום לא לחסום :מילים סתם מילים בבקשה איך אני עושה את זה?< Last edited by ddd789; 30-08-07 at 22:59..

30-08-07, 23:01	# 2
HagaiA חבר מתקדם מיני פרופיל תאריך הצטרפות: Apr 2006 גיל: 33 הודעות: 605	ביטויים רגולרים =] __________________ חגי אבישר - פיתוח מערכות מידע ואפליקציות אינטרנט.

30-08-07, 23:12	# 4
Elad-A הוסטסניון מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 1,987	מה אתה רוצה לחסום בדיוק? שלא יכניסו קודים של HTML לשאילתה שלך? אם כן, אתה יכול להשתמש ב mysql_escape_string / stripslashes / addslashes / htmlspecialchars ** תשתמש במה שאתה צריך מהם.. __________________ משחקי דפדפן \| משחקים ברשת \| משחקי בנות ברשת**

30-08-07, 23:48	# 6
psycho הוסטסניון מיני פרופיל תאריך הצטרפות: Oct 2005 גיל: 35 הודעות: 1,926	PHP קוד: `<?php foreach($_GET as $key=>$value) $$key=strip_tags(mysql_real_escape_string($value)); // Bla bla my code ?>` מינימלי ביותר __________________ איחסון אתרים \|\| הולי שיט \|\| אפליקציות לפייסבוק

31-08-07, 21:00	# 8
Cream חבר מתקדם מיני פרופיל תאריך הצטרפות: Apr 2007 מיקום: ראשון לציון גיל: 39 הודעות: 577	יש לי שאלה...בקשר, מתי אני משתמש בזה? באיזה מקרה צריך לעשות את זה? זה מין מנגנון אבטחה לא? __________________ טראנס , פסיכודאלי , מסיבות , טבע


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

30-08-07, 23:02	# 3
ddd789 חבר בקהילה מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 166	חח זה לא ממש עוזר לי איפה ניתן למצוא מידע נוסף ?

30-08-07, 23:25	# 5
ddd789 חבר בקהילה מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 166	אמרתי הזרקות SQL INJ בGET בכתובת

31-08-07, 20:34	# 7
שקד משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Dec 2005 מיקום: ירושלים גיל: 39 הודעות: 659	אני אנסה לנסח את זה בצורה יותר ברורה כך שיהיה קל יותר להבין את הפיתרון לשאלתך. יש מספר פונקציות שימושיות למיקרים האלה, פונקציה "שהורסת" כל שורה שבעצם פונה למסד נתונים, חסימת תגים ב-HTML ופונקציה שבעצם ניתן ליצור איתה סינון בכך שאתה הופך ביטוי אחת לביטוי אחר. שאלתך לא בדיוק ממוקדת ספציפית על אחת מהן לכן אני לא ירחיב על הכל, אבל כפי שאתה יכול לראות הודעה מעלי, גיא כבר ציפר אותך בסקריפט קטן שממכיש את אופן הפעולה. במידה ותירצה ליקרוא עוד על אתה תמיד יכול להסתכל על הפונקציות עצמם: strip_tags mysql_real_escape_string בהצלחה

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)