Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

[PHP]Globalne zabezpieczenie skryptu

Amarel Zobacz profil	10.04.2009, 23:38:59 Post #1
Grupa: Zarejestrowani Postów: 11 Pomógł: 0 Dołączył: 30.04.2006 Ostrzeżenie: (10%)	Wpadlem na pomysl, jak zabezpieczyc wszystkie dane otrzymywane od uzytkownika bez zabezpieczania ich za kazdym razem oddzielnie. [PHP] pobierz, plaintext <?php while ( list($key, $value) = each($_GET) ) { $_GET[$key] = mysql_real_escape_string(htmlspecialchars(strip_tags($value), ENT_QUOTES)); } while ( list($key, $value) = each($_POST) ) { $_POST[$key] = mysql_real_escape_string(htmlspecialchars(strip_tags($value), ENT_QUOTES)); } ?> [PHP] pobierz, plaintext Czy rozwiazanie, ktore zastosowalem jest dobre? Ten post edytował Amarel 10.04.2009, 23:39:33

Start new topic

Odpowiedzi (1 - 9)

erix Zobacz profil	10.04.2009, 23:49:45 Post #2
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów	Nie zawsze jest potrzeba zabezpieczania w ten sposób danych... masz wartość liczbową - kombinujesz - masz przecież rzutowanie o array_map" title="Zobacz w manualu PHP" target="_manual słyszałeś? ktoś na chama wrzuci N-set pól, a Twój skrypt korzysta tylko z kilku - po co zajeżdżać serwer ubezpieczaniem niepotrzebnych? -------------------- ZCE :: Pisząc PW załączaj LINK DO TEMATU i TYLKO w sprawach moderacji :: jakiś błąd - a TREŚĆ BŁĘDU? :: nie ponaglaj z odpowiedzią via PW!

Amarel Zobacz profil	11.04.2009, 09:20:11 Post #3
Grupa: Zarejestrowani Postów: 11 Pomógł: 0 Dołączył: 30.04.2006 Ostrzeżenie: (10%)	[PHP] pobierz, plaintext <?php if(count($_GET) > 4 OR count($_POST) > 16) { die('Zbyt duza liczba parametrow przekazanych do systemu. Hacking?'); } ?> [PHP] pobierz, plaintext Zrobilem cos takiego na poczatku. Wiecej danych nie bede potrzebowal przekazywac w skrypcie, wiec jak ktos przekaze wiecej to skrypt wykona die(). Funkcja array_map to dobry pomysl. Dzieki Czy zastosowanie obok siebie funkcji mysql_real_escape_string, htmlspecialchars i strip_tags zabezpieczy mnie przed wszystkimi atakami? Ten post edytował Amarel 11.04.2009, 09:21:33

erix Zobacz profil	11.04.2009, 11:23:07 Post #4
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów	nie o to chodzi... lepiej rób escape'owanie tylu pól, ile trzeba; nieraz przeglądarka wyśle więcej pól (nie wiem, jak to się ma do MAX_FILE_SIZE) i wtedy kicha wystarczy mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual, bez przesady. -------------------- ZCE :: Pisząc PW załączaj LINK DO TEMATU i TYLKO w sprawach moderacji :: jakiś błąd - a TREŚĆ BŁĘDU? :: nie ponaglaj z odpowiedzią via PW!

Amarel Zobacz profil	11.04.2009, 12:45:26 Post #5
Grupa: Zarejestrowani Postów: 11 Pomógł: 0 Dołączył: 30.04.2006 Ostrzeżenie: (10%)	Funkcja mysql_real_escape_string nie zabezpieczy mnie chyba przed XSS, itp... Kod html/java/php dalej bedzie dalo sie wstawic - prawda?

erix Zobacz profil	11.04.2009, 13:30:18 Post #6
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów	No tak, ale to naprawdę zależy od kontekstu... Jak będziesz chciał użytkownikowi udostępnić XHTML, to będziesz na chama wszystko filtrował? Nie. -------------------- ZCE :: Pisząc PW załączaj LINK DO TEMATU i TYLKO w sprawach moderacji :: jakiś błąd - a TREŚĆ BŁĘDU? :: nie ponaglaj z odpowiedzią via PW!

Amarel Zobacz profil	11.04.2009, 13:54:25 Post #7
Grupa: Zarejestrowani Postów: 11 Pomógł: 0 Dołączył: 30.04.2006 Ostrzeżenie: (10%)	Zgadzam sie z Toba w pelni Jednak pisze projekt, w ktorym nie musze udostepniac xhtml. Tak wiec, uzycie tych trzech funkcji do filtrowania wystarczy, aby zabezpieczyc sie przed wszystkimi atakami ( nie zamierzam przyjmowac od uzytkownikow zadnych plikow, a wiec tablicy z plikami nie zabezpieczalem )?

erix Zobacz profil	11.04.2009, 14:00:52 Post #8
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów	Ale wiesz - dobre nawyki lepiej sobie wyrabiać od początku, tych złych potem jest ciężko się pozbyć. -------------------- ZCE :: Pisząc PW załączaj LINK DO TEMATU i TYLKO w sprawach moderacji :: jakiś błąd - a TREŚĆ BŁĘDU? :: nie ponaglaj z odpowiedzią via PW!

Amarel Zobacz profil	11.04.2009, 14:08:23 Post #9
Grupa: Zarejestrowani Postów: 11 Pomógł: 0 Dołączył: 30.04.2006 Ostrzeżenie: (10%)	Rozumiem Ciebie w pelni, problem jednak polega na tym, ze projekt ten bedzie zawieral naprawde duzo plikow, ktore beda co raz dodawane przez rozne osoby i ciezko mi bedzie to opanowac i wykryc wszystkie bledy. Dlatego wlasnie musialem zastosowac takie rozwiazanie.

erix Zobacz profil	11.04.2009, 14:29:15 Post #10
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów	Dlatego używa się bibliotek, które są do tego celu - frameworki. Poza tym, masz jeszcze binding parameters, KISS. -------------------- ZCE :: Pisząc PW załączaj LINK DO TEMATU i TYLKO w sprawach moderacji :: jakiś błąd - a TREŚĆ BŁĘDU? :: nie ponaglaj z odpowiedzią via PW!

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 21.08.2025 - 11:41

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn