am o problema
Scris: Sâm Noi 06, 2010 12:19 pm
cum fac sa securizez sursa ? pentru SQL ijection etcc?
Forum PHP Romania - Discutii despre PHP, MySQL, Javascript, AJAX, etc
Comunitatea PHP Romania
http://www.phpromania.net/forum/
am o problema
Pagina 1 din 1
Scris: Sâm Noi 06, 2010 12:37 pm
ai
Scris: Sâm Noi 06, 2010 3:40 pm
Mai omule, nu mai pune titluri din astea atat de confuze. Ai o problema... Toti avem o problema cand postam, de aia si postam. Scrie in titlu o propozitie care reprezinta problema. Mai faci si de doua ori aceeasi prostie.
Un titlu bun ar fi fost "Protejare cod-sursa impotriva atacului SQL-"ijection".
De capul meu, ti-era sters postul imediat prin alte parti.
De-as fi eu moderator v-as sterge aberatiile astea, astfel incat sa va ganditi de doua ori inainte sa postati si sa va verificati postarile ca nu cumva sa fie sterse din senin.
Am o problema...
Un titlu bun ar fi fost "Protejare cod-sursa impotriva atacului SQL-"ijection".
De capul meu, ti-era sters postul imediat prin alte parti.
De-as fi eu moderator v-as sterge aberatiile astea, astfel incat sa va ganditi de doua ori inainte sa postati si sa va verificati postarile ca nu cumva sa fie sterse din senin.
Am o problema...
Scris: Sâm Noi 06, 2010 10:13 pm
Pentru a evita o posibilă exploatare a vulnerabilităţii SQL Injection în aplicaţia web, este necesar de a prelucra toate datele ce parvin de la utilizatori la următoarele simboluri:
1. Ghilimelele atât simple cât şi duble (‘, “, `). Cu ajutorul acestora în majoritatea cazurilor se efectuează injectarea codului SQL.
2. Simbolurile de comentarii specifice SGBD anumit (/*,–). Cu ajutorul acestora poate fi omisă o parte din interogare.
3. Simbolurile ce împart instrucţiunile SQL ( ; ). Prezenţa acestui simbol permite de a forma mai multe cereri la baza de date.
4. Deasemenea datele ar trebui să fie verificate la prezenţa şi la alte simboluri (_,%,*).
5. În cazul când în cererea SQL se utilizează date numerice primite de la utilizatori, înainte de a le plasa în cererea SQL acestea ar trebui aduse la tipul numeric:
$id=(int)$id;
6. În cazul când în cererea SQL se utilizează date de tip şir de caractere primite de la utilizatori, înainte de a le plasa în cererea SQL acestea ar trebui prelucrate la simboluri speciale. Cea mai bună practică - este formarea expresiilor regulate.
Concluzii
Pentru a evita prezenţa acestei vulnerabilităţi este nevoie de a prelucra la simboluri speciale absolut toate datele ce parvin de la utilizatori. În această categorie intră parametrii GET, POST şi chiar cookie.
Sursa : link din mesajul lui Birkoff
Deci pentru inceput taie accesul utilizatorilor la situl tau pt un timp.
Pune-i sa bifeze, sa aleaga cu butoane radio etc, sa introduca text numai unde e necesar.
http://php.net/manual/en/function.htmlspecialchars.php <<
Ceea ce nu poti coda, taie!! Scoate toate semenele din string, lasa numa' cratima si punctul!!!
1. Ghilimelele atât simple cât şi duble (‘, “, `). Cu ajutorul acestora în majoritatea cazurilor se efectuează injectarea codului SQL.
2. Simbolurile de comentarii specifice SGBD anumit (/*,–). Cu ajutorul acestora poate fi omisă o parte din interogare.
3. Simbolurile ce împart instrucţiunile SQL ( ; ). Prezenţa acestui simbol permite de a forma mai multe cereri la baza de date.
4. Deasemenea datele ar trebui să fie verificate la prezenţa şi la alte simboluri (_,%,*).
5. În cazul când în cererea SQL se utilizează date numerice primite de la utilizatori, înainte de a le plasa în cererea SQL acestea ar trebui aduse la tipul numeric:
$id=(int)$id;
6. În cazul când în cererea SQL se utilizează date de tip şir de caractere primite de la utilizatori, înainte de a le plasa în cererea SQL acestea ar trebui prelucrate la simboluri speciale. Cea mai bună practică - este formarea expresiilor regulate.
Concluzii
Pentru a evita prezenţa acestei vulnerabilităţi este nevoie de a prelucra la simboluri speciale absolut toate datele ce parvin de la utilizatori. În această categorie intră parametrii GET, POST şi chiar cookie.
Sursa : link din mesajul lui Birkoff
Deci pentru inceput taie accesul utilizatorilor la situl tau pt un timp.
Pune-i sa bifeze, sa aleaga cu butoane radio etc, sa introduca text numai unde e necesar.
http://php.net/manual/en/function.htmlspecialchars.php <<
Ceea ce nu poti coda, taie!! Scoate toate semenele din string, lasa numa' cratima si punctul!!!
Scris: Sâm Noi 06, 2010 11:08 pm
Scris: Sâm Noi 06, 2010 11:46 pm
Scris: Dum Noi 07, 2010 2:24 am