Помощник
|
пара вопросов к профи по защите |
ghostik32
|
Сообщение
#1
|
||
|
|
||
|
|||
ZhukV |
24.3.2010, 23:56;
Ответить: ZhukV
Сообщение
#2
|
|
Мне очень не понравилось:
[PHP] $filter = array ("\\", "'", ",", ";", "--", "-", "%20", "%27", " ", "`", "=", "%"); [/PHP] Во-первых: Как так, сначала проверяются %20 и %27, это очень хорошо!!!! Но зачем пробел (%20) заменять на пустое значение, так же и одинарную кавичку (%27), если все спецсимовлы автоматом экранизируются -- http://www.html.by/showthread.php?t=10937 , внизу написано. Два, ты установил также замену % на пустое значение, при проверке на SQL_Injection, СУПЕР, МОЛОТОК!!!! Но все же ты подумал, что ты сделал? Многие браузеры передают специмовлы в виде таких кодов -- %xx, где xx -- код символа. Так и с каждым кодом!!! Если уж проверять на SQL-инекцию, то нужно проверять на наличие "--;", тоесть комент предедущего запроса. А еще лучше, совет, воспользуйся так http://www.html.by/showthread.php?t=10931 , тогда 1000% процентов, если и получиш в адресной строке какую-то SQL-инекцию, то она аж никак не срабатывает!!!! Относительно include файлов, впечетлило, ибо проверку желательно ставить всегда, если файл инклюдится динамически. Вот только не следует забывать, что при твоем инклюде (require_once()), ядро получит код на начале всего документа, а при простом include(), там где он вызван. В результае этого могут быть некие сложности, типа: в начале прописана переменная $page, которая имеет определенное значение, и в инклюде, такая же, они могут просто "поменятся местами" (значение будет со втрого присвоивания) Имя проверено нормально!!!! |
|
|
ghostik32
|
Сообщение
#3
|
|
взял я эти функции из одной так сказать CMS, пользуется большой популярность в своей области приминения. О взломах неслышал. В url у меня передаются текст и цыфры. спс за функцию буду смотреть что да как. По поводу include, гдето читал что reaqire если не найдёт файл то скрипт продолжит своё выполнение а если include то ошибка на экране, могу и ошибаться. То что написал про include незнал, возьму на заметку.
Как насчёт остальных пунктов? Особенно интересует про сессии так как я не стал их чем то проверять. |
|
|
ZhukV |
25.3.2010, 0:09;
Ответить: ZhukV
Сообщение
#4
|
|
|
$filter*=*array*("select",*"delete",*"union",*"update",*"insert"); ); Супер, но также нужно проверять и в верхнем регистре... - $_SESSION[''] есть ли какойто способ юзерам изменять этот массив, спрашиваю так как там храню данные после авторизации пользователя? Да, можна. Я использую собственные алгоритмы шифрования, но 100 процентной гарантии это не дает!!!
|
|
|
||
|
Похожие темы
Тема | Ответов | Автор | Просмотров | Последний ответ | |
---|---|---|---|---|---|
GAMBLING.pro - СРА-сеть для профи | 97 | Gamblingpro | 38978 | 26.7.2022, 17:42 автор: Gamblingpro |
|
HomeWork - профи в монетизации студентов (18-24 года, Россия) | 23 | partner_hw | 8647 | 5.4.2022, 17:23 автор: kuprum |
|
Наполнение сайтов вопросов и ответов | 1 | Solonik | 1382 | 3.2.2022, 0:31 автор: Vitelius900 |
|
RAMON.CASH – На защите Ваших интересов! Купить быстро BTC, ETH, LTC | 20 | Roman9 | 17337 | 2.1.2022, 12:13 автор: Roman9 |
|
Пару вопросов про push-рассылки | 12 | Zhezkazganetcs | 5152 | 12.6.2019, 8:36 автор: ExchangeRatesPro |
Текстовая версия | Сейчас: 25.4.2024, 16:00 |