Тема
|
forms
|
|
Автор |
enchanted (гьомбаба) |
Публикувано | 28.08.01 21:40 |
|
интересува ме източник(сайт, форум, статия) от който да може да се почерпи информация за възможните опастности и начините за защита и проверка на информацията постъпваща от форми в уеб-страниците.
благодаря ви предварително
който спре - умира
|
|
Тема
|
Re: forms
[re: enchanted]
|
|
Автор | Seven (Нерегистриран) |
Публикувано | 29.08.01 10:34 |
|
che kakvo tolkova ima da se predpazvash?
ako si na PHP (inache edva li shteshe da pishesh v toq forum)
ako ochakvash int kazvash - $x=(int)$x;
ako float - $x=(float)$x;
a ako ochakvash string pravish slednoto:
smenqsh vsichki \ s \\
smenqsh vsichki " s \"
i vsichki ' s \'
a ako iskash i vsichki ` s \`
i si gotov :)))
|
|
Тема
|
znachi ne podozirash ...
[re: Seven]
|
|
Автор |
AcidMemory (minimalist) |
Публикувано | 29.08.01 11:29 |
|
kakwo moje da se naprawi kato probiw w php-tata (a i script ezicite)
bqh go postwal predi towa
|
|
Тема
|
abe az sym si podozritelen po princip
[re: AcidMemory]
|
|
Автор | Seven (Нерегистриран) |
Публикувано | 29.08.01 12:49 |
|
ama ne sym paranoik :)))
vij sega na choveka mu trqbva da si filtrira inputa ot userite (osven ako ne pishe diplomna rabota na taq tema i da mu trqbvat materiali) :)))
na toq sait ima mnogo hubavi raboti ama to po princip e glupavo da ne si inicializirash promenlivite koito polzvash... a tam samo za tova se prikazva obshto vzeto i za razni umnici koito includvat ili otvarqt fail podaden kato parametyr...
a az ne nauchih nishto novo... daje aspekta koito az sym zasegnal go nqma tam
naprimer ako promenlivite ot post-a gi slagash v SQL osobeno ako si na Postgres e mnogo bolezneno da ne pravish typecast na chislenite si promenlivi (dokolkoto izobshto ima takova neshto)
ili da ne escape-vash kavichki na stringovete...
shtoto ne samo che mogat da ti grymnat sql-a ami mogat i da si izpylnqt svoi SQL sled tova.
primer:
http://www.x.com/php.php?x=76
$sqla="select * from tablica where id=$id";
ta ako pusna
http://www.x.com/php.php?x=76;delete from tablica
gledai kakvo shte stane
aide che trqbva da hodq da qm :))
|
|
Тема
|
Re: abe az sym si podozritelen po princip
[re: Seven]
|
|
Автор |
AcidMemory (minimalist) |
Публикувано | 29.08.01 13:40 |
|
mnenieto mi beshe principno
inache za register_globals ne sym syglasen (pyk i w skoro wreme ili ste go mahat ili nqma da e default option)
ako e on, samo ste spomenta slednite primeri:
if ($a == 1) { // ili if (!isset($b)) {
$b = 2;
}
( a da ne goworim, che poradi tazi prichina w originalniq phpMyAdmin mojeshe chovek da si browse-wa celiq comp., wkl. da widi /etc/passwd)
no da ne se otklonqwame ot temata za formite:
1. wse pak e dobre da se wkluchwa E_ALL, kogato se pishe code, tyj kato taka se znae koia promenliwa se polzwa predi da e bila inicializirana (wsicki promenliwi trqbwa da bydat ZADYLJITELNO inicializirani)
2. upload s <input file="text" ... ne e preporychitelno da se polzwa, poradi posochenite w statiq stranichni efekti, koito do momenta nqmat reshenieРедактирано от AcidMemory на 29.08.01 13:43.
|
|
Тема
|
Re: abe az sym si podozritelen po princip
[re: AcidMemory]
|
|
Автор |
dzver (чатър) |
Публикувано | 29.08.01 13:58 |
|
polzvaite mysql_escape_string()
http://bg.php.net/manual/en/function.mysql-escape-string.php
А пекарят се подсмива,
лакомец глава затрива.
|
|
Тема
|
Re: abe az sym si podozritelen po princip
[re: dzver]
|
|
Автор |
AcidMemory (minimalist) |
Публикувано | 29.08.01 14:10 |
|
e se taia ebasi
a pyk i po princip po default addslashes kym bazata se prawi awtomatichno ot php-toРедактирано от AcidMemory на 29.08.01 14:13.
|
|
Тема
|
Re: abe az sym si podozritelen po princip
[re: Seven]
|
|
Автор |
Lupi (Бира да има) |
Публикувано | 29.08.01 15:02 |
|
Нищо няма да стане с DELETE FROM - тоя номер не минава с MySQL и PHP, само с ASP и SQL Server
Целта оправдава средствата
|
|
Тема
|
Re: forms
[re: enchanted]
|
|
Автор | edmon (Нерегистриран) |
Публикувано | 29.08.01 15:36 |
|
tofa koeto triabva da znaesh za sigurnosta e :
kak operacionnata ti sistema oprabotva konfeiri... v unices '|',
primerno ako siaka promenlifka ot formata byde pusnata pres niakvo si tam za izbiagvane na tezi loshi simfoli niama problem:)))
syhtoto taka trim-vash spaces-to i izbiagvash '/' s '\'
i nikoi nishto ne moi da naprafi ... ili pochti nikoi de
kakto se snae ima hora koito si nimat druga rabota i tiah ne moish da spresh ako shte i na chelna stoika da zastanish ama drugite :)))))
|
|
Тема
|
Re: abe az sym si podozritelen po princip
[re: Lupi]
|
|
Автор | Seven (Нерегистриран) |
Публикувано | 29.08.01 16:25 |
|
ama s Postgres stava. top.bg imaha takyv problem s foruma si.
|
|