Forum PHP.pl

a ja się już nie co zagubiłem w tym wszystkim lecz czy przy przykładzie:

[PHP] pobierz, plaintext 
$sql=mysql_query("SELECT * FROM costam WHERE cos=$wartosc[id] ORDER BY id DESC");
[PHP] pobierz, plaintext 

jest dobrze zabezpieczyć id poprzez dodanie przed wartością (int)

[PHP] pobierz, plaintext 
$sql=mysql_query("SELECT * FROM costam WHERE cos=(int)$wartosc[id] ORDER BY id DESC");
[PHP] pobierz, plaintext 

Czy takie coś przed czymś zabezpiecza?zrozumiałem że dzięki (int) żadne ekstra znaki czy litery nie będą brane pod uwagę

Powiedzcie mi, jak powinienem filtrować całą tablicę która wygląda tak:

[PHP] pobierz, plaintext 
Array
(
    [55] => Array
        (
            [uid] => 55
            [nazwa] => CCBC 1325-LP
            [opis] => Kamera Kolorowa, przetwornik CCD 1/3" Sony SuperHAD czu?o?? 0.6Lux rozdzielczo?? 480 linii Funkcja AES AGC BLC Uzas:12VDC/24VAC/2.8W wymiar 122x72x63mm
 
            [ilosc] => 1
            [cena] => 111
        )
 
    [53] => Array
        (
            [uid] => 53
            [nazwa] => CCBC 1325-LP
            [opis] => Kamera Kolorowa, przetwornik CCD 1/3" Sony SuperHAD czu?o?? 0.6Lux rozdzielczo?? 480 linii Funkcja AES AGC BLC Uzas:12VDC/24VAC/2.8W wymiar 122x72x63mm
 
            [ilosc] => 1
            [cena] => 99
        )
 
)
[PHP] pobierz, plaintext 

Da się jakoś całą zfiltrować np, przy

[PHP] pobierz, plaintext 
foreach($_SESSION['koszyk'] as $produkt){
[PHP] pobierz, plaintext 

czy muszę po kolei każde pole które wywojuje np. tak:

[PHP] pobierz, plaintext 
$_SESSION['koszyk'] [$id] ['ilosc']
[PHP] pobierz, plaintext 

Podajcie jakiś przykład najlepiej. Mam funkcje filtruj ale nie wiem jak ją użyć do powyższego ...

Ten post edytował Agape 22.06.2010, 09:45:07

O mamo, a przeczytałeś chociaż pierwszą stronę tego wątku, czy czekasz, aż ktoś Ci podrzuci gotowca?

jak to szybko zrobic na tablicy wielowymiarowej nie powtarzajac za kazdym razem

[PHP] pobierz, plaintext 
filtruj($_SESSION['koszyk'] [$id] ['ilosc'])
filtruj($_SESSION['koszyk'] [$id] ['cena'])
filtruj($_SESSION['koszyk'] [$id] ['opis'])
[PHP] pobierz, plaintext 

Ten post edytował Agape 22.06.2010, 13:13:04

array_map

Zasada jest prosta - Don't trust user input

A tak na poważnie to:

- używaj abstrakcji PDO lub ORM-a
- procedury składowane
- pomyśl 2x pisząc RAW SQLa

Proste zasady, których trzeba przestrzegać.

tak się zastanawiam czy przepuszczenie przez preg_replace z regułą [^a-zA-Z_] i usunięcie całej reszty + mysql_real_escape_string i dla liczb stosowanie (int) jest wystarczająco bezpieczne?

A po co Ci to wyrażenie?

nie, po 1. samym a-z da się namieszać 2. filtracje / walidacje stosuje się odpowiednio do filtrowanych / walidowanych danych

Wyrażenie samo w sobie ma oczyszczać np. dodawaną lub pobieraną kategorię zostawiając jedynie a-Z i znak"_" usuwając spacje, pokemoniaste znaczki i cyfry nie chce mieć czegoś takiego.

bełdzio jak można namieszać, skoro spacja,znaki spec. nie przechodzą?a zmienna tak czy siak przechodzi przez mysql_real_escape_string() chyba, że się mylę i coś zostaje, tylko co wtedy może zostać złego?. Zawsze wolę znać uzasadnienie.

Ten post edytował Hoku 7.07.2010, 09:34:12

wszystko zależy od tego, gdzie następnie wyświetlasz te dane, jeśli wyświetlisz jako "zwykły" text na stronie będzie zapewne ok, jak wrzucisz jako zawartość skryptu JS to już niekoniecznie (IMG:style_emoticons/default/smile.gif)

Ja wspomne, że mysql_real_escape_string oraz addslashes są dziurawe jeżeli mamy doczynienia z chińskim(i kilkoma innymi) kodowaniem. Należy stosować mysqli->real_escape_string()

A co powiecie na takie zabezpieczenie przed SQL Injection?

[PHP] pobierz, plaintext 
$cracktrack = $_SERVER['QUERY_STRING'];
  $wormprotector = array('chr(', 'chr=', 'chr%20', '%20chr', 'wget%20', '%20wget', 'wget(',
'cmd=', '%20cmd', 'cmd%20', 'rush=', '%20rush', 'rush%20',
'union%20', '%20union', 'union(', 'union=', 'echr(', '%20echr', 'echr%20', 'echr=',
'esystem(', 'esystem%20', 'cp%20', '%20cp', 'cp(', 'mdir%20', '%20mdir', 'mdir(',
'mcd%20', 'mrd%20', 'rm%20', '%20mcd', '%20mrd', '%20rm',
'mcd(', 'mrd(', 'rm(', 'mcd=', 'mrd=', 'mv%20', 'rmdir%20', 'mv(', 'rmdir(',
'chmod(', 'chmod%20', '%20chmod', 'chmod(', 'chmod=', 'chown%20', 'chgrp%20', 'chown(', 'chgrp(',
'locate%20', 'grep%20', 'locate(', 'grep(', 'diff%20', 'kill%20', 'kill(', 'killall',
'passwd%20', '%20passwd', 'passwd(', 'telnet%20', 'vi(', 'vi%20',
'insert%20into', 'select%20', 'nigga(', '%20nigga', 'nigga%20', 'fopen', 'fwrite', '%20like', 'like%20',
'$_request', '$_get', '$request', '$get', '.system', 'HTTP_PHP', '&aim', '%20getenv', 'getenv%20',
'new_password', '&icq','/etc/password','/etc/shadow', '/etc/groups', '/etc/gshadow',
'HTTP_USER_AGENT', 'HTTP_HOST', '/bin/ps', 'wget%20', 'uname\x20-a', '/usr/bin/id',
'/bin/echo', '/bin/kill', '/bin/', '/chgrp', '/chown', '/usr/bin', 'g\+\+', 'bin/python',
'bin/tclsh', 'bin/nasm', 'perl%20', 'traceroute%20', 'ping%20', '/usr/X11R6/bin/xterm', 'lsof%20',
'/bin/mail', '.conf', 'motd%20', 'HTTP/1.', '.inc.php', 'config.php', 'cgi-', '.eml',
'file\://', 'window.open', '<script>', 'javascript\://','img src', 'img%20src','.jsp','ftp.exe',
'xp_enumdsn', 'xp_availablemedia', 'xp_filelist', 'xp_cmdshell', 'nc.exe', '.htpasswd',
'servlet', '/etc/passwd', 'wwwacl', '~root', '~ftp', '.js', '.jsp', 'admin_', '.history',
'bash_history', '.bash_history', '~nobody', 'server-info', 'server-status', 'reboot%20', 'halt%20',
'powerdown%20', '/home/ftp', '/home/www', 'secure_site, ok', 'chunked', 'org.apache', '/servlet/con',
'<script', '/robot.txt' ,'/perl' ,'mod_gzip_status', 'db_mysql.inc', '.inc', 'select%20from',
'select from', 'drop%20', '.system', 'getenv', 'http_', '_php', 'php_', 'phpinfo()', '<?php', '?>', 'sql=');
 
  $checkworm = str_replace($wormprotector, '*', $cracktrack);
 
  if ($cracktrack != $checkworm)
        {
               echo "GDZIE?!";
         }
[PHP] pobierz, plaintext 

Ten post edytował H4eX 16.07.2010, 14:21:15

A co jak ja cię poproszę/zlecę napisanie mi bloga na którym chcę pisać o programowaniu ? Leżysz (IMG:style_emoticons/default/smile.gif)

Poza tym to zabezpieczenie totalnie nic nie daje, to co podaje jako parametr mogę zakodować szesnastkowo

Czy oprócz kodowania szesnastkowego, da się jeszcze jakimś innym zakodować parametr?

Czy czasem iconv nie rozwiązuje tego typu problemów ?

[PHP] pobierz, plaintext 
$str=@iconv("utf-8", "utf-8//IGNORE", $str)
[PHP] pobierz, plaintext 

A jak z PDO? Też powinno sobie radzić .

Weźcie mi wyjaśnijcie jedno - jest już kilka skutecznych metod, ludzie dopisują cały czas jakieś swoje-nowe, które się wydają im działać, a tak naprawdę są strzałami w stopy.

Po co?

Erix - bo w sieci na stronach o sql injection zamiast podawać info o funkcjach filtrujących dają gadki typu
'najlepiej stworzyć funkcję która będzie filtrować treść z niebezpiecznych znaków' , swego czasu gdy sam dopiero podchodziłem do tej tematyki spotykałem chyba tylko takie wymysły... dopiero w jakiejś książce znalazłem sensowne wyjaśnienie i funkcję ;p

@Spawnm: musiałbym to iconv przetestować ale moim zdaniem nie ma sensu sobie komplikować życia. PDO również jest bezpieczne więc wystarczy wybrac mysqli lub pdo. Dziurawy jest jedynie stary strukturalny moduł obsługi mysql ale to i tak tylko przy kilku azjatyckich kodowaniach.

Wszelkie te zabezpieczenia operujące na słownikach są kretyńskie zawsze można większość z nich ominąć za pomocą komentarzy. Nawet jeśli filtrujesz np. UNION mogę napisać U/**/N/**/I/**/O/**/N albo w hex albo wykorzystując funkcję char()