-
-
-

Вернуться   Форум SAPE.RU > Общие вопросы > Разработка и сопровождение сайтов
Перезагрузить страницу Защита от SQL инъекции - подмогните плз..
Регистрация Правила форума Пользователи Календарь Сообщения за день

-->
Ответ
Страница 2 из 3 1 2 3
 
Опции темы
Старый 03.11.2010, 16:38   #11
Мастер
 
Аватар для dgek1111
 
Регистрация: 10.10.2008
Адрес: Одесса Мама
Сообщений: 947
Вес репутации: 245
dgek1111 - прекрасное будущееdgek1111 - прекрасное будущееdgek1111 - прекрасное будущееdgek1111 - прекрасное будущееdgek1111 - прекрасное будущееdgek1111 - прекрасное будущееdgek1111 - прекрасное будущееdgek1111 - прекрасное будущееdgek1111 - прекрасное будущееdgek1111 - прекрасное будущееdgek1111 - прекрасное будущее
По умолчанию
1. Все числовые значения надо проверять (число ли это)
Например функцией is_numeric()

2. Экранировать такие(') кавычки, или вырезать их из строки к чертовой матери.


Цитата:
Сообщение от Андрей Барыкин Посмотреть сообщение
Так что, если совсем охота защититься, можно еще проверять на наличие UNION в строке.
Это лишнее, если злоумышленник не сможет поставить кавычку в начале иньекции то и иньекции никакой не будет.
dgek1111 вне форума   Ответить с цитированием
Старый 10.11.2010, 18:51   #12
Специалист
 
Аватар для Андрей Барыкин
 
Регистрация: 04.03.2009
Адрес: GOA
Сообщений: 136
Вес репутации: 196
Андрей Барыкин - просто великолепная личностьАндрей Барыкин - просто великолепная личностьАндрей Барыкин - просто великолепная личностьАндрей Барыкин - просто великолепная личностьАндрей Барыкин - просто великолепная личностьАндрей Барыкин - просто великолепная личностьАндрей Барыкин - просто великолепная личность
Отправить сообщение для Андрей Барыкин с помощью ICQ
По умолчанию
Цитата:
Сообщение от dgek1111 Посмотреть сообщение
Это лишнее, если злоумышленник не сможет поставить кавычку в начале иньекции, то и иньекции никакой не будет.
Если параметр строковый, то да, требуется закрывающая кавычка.
Но если значение с клиента, тупо присоединяется к запросу и не является строкой(т.е. нет кавычек, например число), то кавычка не требуется для такой инъекции.
Поэтому, стоит проверять тип и длину значения с клиента,тогда такая инъекция не пройдет.
Андрей Барыкин вне форума   Ответить с цитированием
Старый 10.11.2010, 22:54   #13
Специалист
 
Аватар для pgolovko
 
Регистрация: 07.05.2009
Адрес: Las Vegas
Сообщений: 217
Вес репутации: 190
pgolovko - как роза среди колючекpgolovko - как роза среди колючекpgolovko - как роза среди колючек
По умолчанию
Цитата:
Сообщение от Йода Посмотреть сообщение
Собсно- подмогните плиз..
Я пропускаю инпут через вот такой маленький фильтр:
PHP код:
function clean_input($input){
    if(get_magic_quotes_gpc()){
        $input stripslashes($input);
        }
    $input strip_tags(html_entity_decode($input));
    return mysql_real_escape_string($input);
    } 
pgolovko вне форума   Ответить с цитированием
Старый 10.11.2010, 23:14   #14
Магистр
 
Аватар для Йода
 
Регистрация: 04.12.2007
Сообщений: 3,680
Вес репутации: 418
Йода - прекрасное будущееЙода - прекрасное будущееЙода - прекрасное будущееЙода - прекрасное будущееЙода - прекрасное будущееЙода - прекрасное будущееЙода - прекрасное будущееЙода - прекрасное будущееЙода - прекрасное будущееЙода - прекрасное будущееЙода - прекрасное будущее
По умолчанию
ага. спасибо!
__________________
С уважением, Йода
Йода вне форума   Ответить с цитированием
Старый 11.11.2010, 06:58   #15
Мастер
 
Регистрация: 17.03.2008
Сообщений: 638
Вес репутации: 238
ahsinis - прекрасное будущееahsinis - прекрасное будущееahsinis - прекрасное будущееahsinis - прекрасное будущееahsinis - прекрасное будущееahsinis - прекрасное будущееahsinis - прекрасное будущееahsinis - прекрасное будущееahsinis - прекрасное будущееahsinis - прекрасное будущееahsinis - прекрасное будущее
По умолчанию
Цитата:
Сообщение от pgolovko Посмотреть сообщение
Я пропускаю инпут через вот такой маленький фильтр:
PHP код:
function clean_input($input){
    if(get_magic_quotes_gpc()){
        $input stripslashes($input);
        }
    $input strip_tags(html_entity_decode($input));
    return mysql_real_escape_string($input);
    } 
а в чем сокраментальный смысл строки?
Код:
$input = strip_tags(html_entity_decode($input));
ahsinis вне форума   Ответить с цитированием
Старый 17.11.2010, 15:26   #16
Специалист
 
Регистрация: 13.06.2010
Сообщений: 103
Вес репутации: 173
Horrower скоро станет известен
По умолчанию
htmlspecialchars или addslashes, предварительно проверив на get_magic_quotes_gpc()

а mysql_escape использует запрос к базе данных, так что это тока нагружает работу.

приводите типы, господа =)
Horrower вне форума   Ответить с цитированием
Старый 17.11.2010, 15:30   #17
Магистр
 
Аватар для Йода
 
Регистрация: 04.12.2007
Сообщений: 3,680
Вес репутации: 418
Йода - прекрасное будущееЙода - прекрасное будущееЙода - прекрасное будущееЙода - прекрасное будущееЙода - прекрасное будущееЙода - прекрасное будущееЙода - прекрасное будущееЙода - прекрасное будущееЙода - прекрасное будущееЙода - прекрасное будущееЙода - прекрасное будущее
По умолчанию
вы Horrower немного не правы

Цитата:
string mysql_escape_string (string unescaped_string)
Эта функция мнемонизирует строку unescaped_string, чтобы её можно было передать функции mysql_query().


Примечание: mysql_escape_string() не мнемонизирует % и _.
Эта функция идентична mysql_real_escape_string(), но mysql_real_escape_string() принимает обработчик соединения и мнемонизирует строку в соответствии с текущим набором символов. mysql_escape_string() не принимает аргумент соединения и не учитывает установки текущего набора символов.
рил искейп обращается к бд, а просто искейп- нет.
__________________
С уважением, Йода
Йода вне форума   Ответить с цитированием
Старый 18.11.2010, 12:33   #18
Специалист
 
Регистрация: 13.06.2010
Сообщений: 103
Вес репутации: 173
Horrower скоро станет известен
По умолчанию
ну я имел ввиду оба, так что и прав и неправ )
Horrower вне форума   Ответить с цитированием
Старый 22.11.2010, 13:26   #19
Новичок
 
Аватар для boombick
 
Регистрация: 23.11.2007
Сообщений: 7
Вес репутации: 0
boombick на пути к лучшему
По умолчанию
Я предпочитаю использовать плейсхолдеры и PDO, гарантированно защищает от инъекций
boombick вне форума   Ответить с цитированием
Старый 22.11.2010, 15:06   #20
Эксперт
 
Аватар для Anadonam
 
Регистрация: 29.10.2009
Адрес: Вологда and SSHA
Сообщений: 3,897
Вес репутации: 355
Anadonam - прекрасное будущееAnadonam - прекрасное будущееAnadonam - прекрасное будущееAnadonam - прекрасное будущееAnadonam - прекрасное будущееAnadonam - прекрасное будущееAnadonam - прекрасное будущееAnadonam - прекрасное будущееAnadonam - прекрасное будущееAnadonam - прекрасное будущееAnadonam - прекрасное будущее
Отправить сообщение для Anadonam с помощью ICQ
По умолчанию
кавычки удалять и всё - тогда ничего не будет.. (менять их на &quote код.. html) - дёшево и сердито
__________________
Новый год, конкурсы, сценки ...
Anadonam вне форума   Ответить с цитированием
Ответ
Страница 2 из 3 1 2 3

« Предыдущая тема | Следующая тема »

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения
BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Защита КОНТЕНТА lbm Общие вопросы оптимизации 83 21.07.2011 17:49
Защита от АГС vasir Вопросы от новичков 12 11.10.2010 22:08
Подскажите по защите от sql-инъекции Йода Разработка и сопровождение сайтов 38 25.06.2010 12:17
Защита от дурака wUUb Пожелания пользователей системы 17 05.03.2010 23:19
Подмогните с голосами :) NCom Курилка 54 04.10.2009 01:54


Часовой пояс GMT +3, время: 13:42.

Обратная связь - SAPE.RU - Архив - Вверх