[PHP]Skrypty PHP i Zabezpieczenia

Reptile ReX · Maj 4, 2008

>>>Dzięki za Pomoc<<<

Temat do usunięcia

hxv · Maj 4, 2008

Na pierwszy rzut oka widać, że źle... Strip_tags chroni przed XSS, a nie przed SQL Injection, użyj addslashes.

Reptile ReX · Maj 4, 2008

<div class='quotetop'>CYTAT(hxv @ 4.05.2008, 13:26) <{POST_SNAPBACK}></div>

Na pierwszy rzut oka widać, że źle... Strip_tags chroni przed XSS, a nie przed SQL Injection, użyj addslashes.[/b]

Właśnie dlatego dodałem strip_tags ponieważ ochroniłem się przed xss'em.

więc co zrobić? zamiast strip_tags dać addslashes ?

hxv · Maj 4, 2008

Najlepiej dodać a nie zamienić. Np.

Kod:

$user=addslashes(strip_tags($_GET['user']));

Dzięki temu będziesz zabezpieczony zarówno przed XSS jak i przed SQL Injection (to tylko tak na pierwszy rzut oka, jak chcesz automatycznie sprawdzić stronę, użyj np. Acunetix WVS).

loganek · Maj 5, 2008

ja polecałbym raczej funkcję htmlspecialchars , można nią zastąpić 2 powyższe

hxv · Maj 5, 2008

Fakt, można użyć, ale należy pamiętać o ENT_QUOTES, np.

Kod:

$var = htmlspecialchars($_GET['var'], ENT_QUOTES);

W przeciwnym wypadku nie będzie filtrować ' (a więc w dalszym ciągu będzie możliwy SQL Injection).

widmo17 · Maj 5, 2008

*Przydatne mogą być videoarty Unknow'a: http://www.uw-team.org/index.php?id=videoa...;dzial=security[/b]

Chyba nie chciałbyś, żeby ktoś kto się zna na zabezpieczeniach tylko z tych videoartów sprawdzał Ci zabezpieczenia?

Reptile ReX · Maj 9, 2008

<div class='quotetop'>CYTAT(widmo17 @ 5.05.2008, 16:04) <{POST_SNAPBACK}></div>

Chyba nie chciałbyś, żeby ktoś kto się zna na zabezpieczeniach tylko z tych videoartów sprawdzał Ci zabezpieczenia?

[/b]

Nie ^^

Ok dzięki, reszta jest bezpieczna ?

[PHP]Skrypty PHP i Zabezpieczenia

Reptile ReX

Użytkownik

hxv

Były Moderator

Reptile ReX

Użytkownik

hxv

Były Moderator

loganek

Były Moderator

hxv

Były Moderator

widmo17

Były Moderator

Reptile ReX

Użytkownik