[inne][MySQL][PHP] Ochrona przed włamaniem do mysql

[inne][MySQL][PHP] Ochrona przed włamaniem do mysql

troian Zobacz profil	4.12.2014, 18:23:28 Post #1
Grupa: Zarejestrowani Postów: 184 Pomógł: 2 Dołączył: 3.02.2013 Ostrzeżenie: (0%)	Witam, mam problem z włamaniem na serwer, tzn facet który dokonywał włamań zmieniał treść wyświetlaną na stronie która była zawarta w tabelach mysql, zastosowałem zabezpieczenia w postaci sprawdzania znaków jakie zostały wprowadzone do $_POST oraz $_GET oto fragment kodu sprawdzający ów działanie: Pierwsza funkcja obcinająca niepotrzebne znaki: takie jak @ # itp [ do emaila mam inną funkcję ] [PHP] pobierz, plaintext function znaki($string) { $sprawdz = preg_match("/^[a-zA-Z0-9]+$/",$string); if($sprawdz) { return true; } else { return false; } } [PHP] pobierz, plaintext następny to filtry które dla pewności usuwają ów znaki [PHP] pobierz, plaintext function clearstr($string) { $string = trim($string); $string = htmlspecialchars($string); $string = stripslashes($string); $string = mysql_real_escape_string($string); return $string; } [PHP] pobierz, plaintext do $_GET i $_POST które są tylko watościami liczbowymi dodaje przedrostek (int) Oto jak to wygląda w kodzie [PHP] pobierz, plaintext funkcja dla watości liczbowej $_GET if (znaki($_GET['poz'])) { $page = (int) clearstr($_GET['poz']); } A $_POST w taki sposób: znaki(clearstr($_POST['login'])) [PHP] pobierz, plaintext Czy ktoś zna jeszcze jakiś sposób włamań oraz w jaki sposób można by go zabezpieczyć, Bardzo proszę o pomoc bo sporo się napracowałem przy stronie a teraz jakiś pajac od którego nie chciałem kupić projektu niszczy mi stronę.

Odpowiedzi (1 - 5)

Damonsson Zobacz profil	4.12.2014, 19:11:45 Post #2
Grupa: Zarejestrowani Postów: 2 355 Pomógł: 533 Dołączył: 15.01.2010 Skąd: Bydgoszcz Ostrzeżenie: (0%)	Wyłącz serwer dla pewności

modern-web Zobacz profil	4.12.2014, 19:21:09 Post #3
Grupa: Zarejestrowani Postów: 763 Pomógł: 117 Dołączył: 15.03.2010 Skąd: void Ostrzeżenie: (0%)	Zablokuj pulę adresów IP, może poskutkować -------------------- Pomogłem? Kliknij `Pomógł`. To nic nie kosztuje, a mnie usatysfakcjonuje! ;)

Wazniak96 Zobacz profil	4.12.2014, 19:55:11 Post #4
Grupa: Zarejestrowani Postów: 550 Pomógł: 75 Dołączył: 5.06.2012 Skąd: Lębork Ostrzeżenie: (0%)	Moduł mysql_* jest już uważany za przestarzały, a wręcz ma być wyprowadzany z PHP. Do tego jest podatny na różne ataki. Poczytaj o PDO i bindValue. To pomaga na większość włamań (a przynajmniej nie znam żadnego możliwego obejścia tego). Do tego jest ono nowoczesne i ponoć szybsze, choć przy moich małych projektach nie wyczułem dużej różnicy

modern-web Zobacz profil	4.12.2014, 20:46:50 Post #5
Grupa: Zarejestrowani Postów: 763 Pomógł: 117 Dołączył: 15.03.2010 Skąd: void Ostrzeżenie: (0%)	Wydajność to kwestia drugorzędna, najważniejsza jest wygoda i poziom bezpieczeństwa. PDO faktycznie wprowadza dużo udogodnień. Spróbuj - polubisz. -------------------- Pomogłem? Kliknij `Pomógł`. To nic nie kosztuje, a mnie usatysfakcjonuje! ;)

troian Zobacz profil	5.12.2014, 12:40:29 Post #6
Grupa: Zarejestrowani Postów: 184 Pomógł: 2 Dołączył: 3.02.2013 Ostrzeżenie: (0%)	Dziękuje za podsunięcie rozwiązania jednak było ono nieco inne, jednak czytałem o tym i wydaje się jednak lepszym pomysłem co do włamań była to moja wina jedna strona nie miała sprawdzania i można było modyfikować kod.

« Następny starszy · Przedszkole · Następny nowszy »

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 21.08.2025 - 19:18

Hosting zapewnia

Forum PHP.pl