Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP]czy nalezy filtrowac dane z inputa password?
michat34
post
Post #1





Grupa: Zarejestrowani
Postów: 200
Pomógł: 1
Dołączył: 4.08.2012

Ostrzeżenie: (10%)
X----

witam zalozmy ze mam na stornie autoryzacje uzytkownikow. login,haslo,email.

login i email filtruje strip tags oraz trim.

a co z hasłem? strip_tags usunie znaki specjalne, przez co uzytkownik nie bedzie sie mogl po rejestracji zalogowac i nie bedzie wiedział co sie dzieje.
a czy jak nie zrobie filtracji to moze mi sie włamac na strone przez formularz?

ciezka sprawa, co robic?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
webdice
post
Post #2


Developer


Grupa: Moderatorzy
Postów: 3 045
Pomógł: 290
Dołączył: 20.01.2007
Generalnie powinieneś filtrować każde dane. Często wykonuje się takie zapytanie:

[SQL] pobierz, plaintext 
  1. SELECT * FROM `TABLE` WHERE `PASSWORD` = SHA1( '[PASSWORD]' )
[SQL] pobierz, plaintext


a w takim wypadku już nie jest fajnie:

[SQL] pobierz, plaintext 
  1. SELECT * FROM `TABLE` WHERE `PASSWORD` = SHA1( 'password' ) OR 1 = 1 --' )
[SQL] pobierz, plaintext



Go to the top of the page
+Quote Post

Posty w temacie
- michat34   [PHP]czy nalezy filtrowac dane z inputa password?   21.10.2012, 18:56:53
- - abort   A co do hasła: 1. trzymasz zakodowane w bazie 2. p...   21.10.2012, 19:07:08
- - michat34   wiem o hashowaniu ale mi chodzi o to czy przed wy...   21.10.2012, 19:21:07
- - Crozin   Skoro wiesz o hashowaniu to niby jakim cudem do ba...   21.10.2012, 19:29:52
- - PanGuzol   W obu przypadkach do zapytania podajesz hash hasła...   21.10.2012, 19:31:58
- - michat34   ok dziekuje wszystkim tak zrobie   21.10.2012, 19:40:31
- - pamil   Cytat(michat34 @ 21.10.2012, 19:56:53...   22.10.2012, 19:40:01
- - webdice   Generalnie powinieneś filtrować każde dane. Często...   23.10.2012, 07:33:45
- - erix   Zacznijmy od tego, że głupotą jest obarczanie bazy...   23.10.2012, 12:30:26
|- - webdice   Cytat(erix @ 23.10.2012, 13:30:26 ) Z...   23.10.2012, 22:39:42
- - erix   CytatTu się w żadnym wypadku nie zgodzę. Jakieś ar...   24.10.2012, 11:55:17
- - webdice   Piszesz że korzystanie z hasowania w zapytaniu jes...   24.10.2012, 14:02:26
- - erix   Ale fakt wydajności, to tylko jeden z powodów. Ad...   24.10.2012, 14:30:22
- - Niktoś   Ja się zgodzę z erixem, że należy filtrować dane p...   24.10.2012, 14:34:43
- - webdice   ~Niktoś długości nie sprawdzałbym wyrażeniami regu...   24.10.2012, 16:07:20
- - erix   Cytat~erix nie popadajmy w paranoje, jeśli chcemy ...   25.10.2012, 12:07:20
- - nospor   Nawet jak postawisz SSL to admin serwera może popr...   25.10.2012, 12:16:51

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 10.10.2025 - 07:43
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn