Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Walidacja danych.
-arrtxp-
post
Post #1





Goście
Witam,
otóż, że jestem początkujący i piszę strukturalnie.
Mam pytanie:

[PHP] pobierz, plaintext 
  1. 	function spr_text($text){ 	
  2. 		if(!empty($text)){
  3. 			$search = array('@<script[^>]*?>.*?</script>@si', '@<[\/\!]*?[^<>]*?>@si', '@<style[^>]*?>.*?</style>@siU', '@<![\s\S]*?--[ \t\n\r]*>@' ); 
  4. 			$text = preg_replace($search, '', $text);
  5. 		}
  6. 		return $text = mysql_real_escape_string(nl2br(trim($text))); 
  7. 	}
[PHP] pobierz, plaintext


Czy taka funkcja zabezpieczy przez Atak SQL Injection itp ?

Ten post edytował arrtxp 20.05.2013, 22:30:55
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
-arrtxp-
post
Post #2





Goście
Skrypt usuwa znaki typu: " ' ", za pomocą, których dokonuję się SQL Injection.
Go to the top of the page
+Quote Post
!*!
post
Post #3





Grupa: Zarejestrowani
Postów: 4 298
Pomógł: 447
Dołączył: 16.11.2006

Ostrzeżenie: (0%)
-----

Cytat(arrtxp @ 21.05.2013, 00:11:50 ) *
Skrypt usuwa znaki typu: " ' ", za pomocą, których dokonuję się SQL Injection.

Skąd pomysł że to wystarczy? http://johnroach.info/2011/02/17/why-mysql...ection-attacks/
Poza tym preg_match odwoła się tylko do pierwszego ciągu wystąpienia.

Nie ma co rozwijać tego dalej, bo dużo już o tym było a temat chyba nawet jest przyklejony. Najlepiej zrobisz jak zaczniesz korzystać z PDO i bindowania.

Ten post edytował !*! 20.05.2013, 23:18:14
Go to the top of the page
+Quote Post

Posty w temacie
- arrtxp   Walidacja danych.   20.05.2013, 22:16:03
- - com   Ja tu raczej widzę przeszukiwanie pod kontem XSS ...   20.05.2013, 22:27:52
- - arrtxp   Ta... to teraz zastanów się jak atak SQL Injection...   20.05.2013, 22:30:24
- - com   Ja mam się zastnawiać?! no ja chyba wiem, powi...   20.05.2013, 22:36:32
- - arrtxp   Hym, jeżeli wykonam update i wrzuce sobie tam włas...   20.05.2013, 22:40:41
- - com   ale gdzie wrzucisz ten skrypcik, tak jak powiedzia...   20.05.2013, 22:49:22
- - arrtxp   SQL Injection przeprowadza się poprzez ?   20.05.2013, 22:53:32
- - !*!   Cytat(arrtxp @ 20.05.2013, 23:16:03 )...   20.05.2013, 22:55:28
- - arrtxp   No tak... i np: w polu input lub w w formularzu ww...   20.05.2013, 23:00:11
- - !*!   Jaką składnie i czemu zapobiega, sql injection? Ni...   20.05.2013, 23:01:37
- - com   Jescze raz powiem to sie zwie atakiem XSS http://h...   20.05.2013, 23:02:48
- - arrtxp   Skrypt usuwa znaki typu: " ' ", za p...   20.05.2013, 23:11:50
|- - !*!   Cytat(arrtxp @ 21.05.2013, 00:11:50 )...   20.05.2013, 23:17:01
- - Mackos   Jeśli chcesz zabezpieczyć swoje zapytania do bazy ...   20.05.2013, 23:20:24
- - arrtxp   No dobra... ale " ; " też nie przepuszcz...   20.05.2013, 23:23:34
- - com   CytatSkrypt usuwa znaki typu: " ' ",...   20.05.2013, 23:24:12
- - arrtxp   " ; " nie przepuszcza ...   20.05.2013, 23:27:45
- - !*!   Nie wiem jak Ty to sprawdzasz, ale ja tam w funkcj...   20.05.2013, 23:33:39
- - com   Tak jak napisał !*! dalsza dywagacja na te...   20.05.2013, 23:36:28
- - arrtxp   Y? podaj mi co wklepujesz.   20.05.2013, 23:37:10
- - com   Podsumowując to jest wręcz zabawne, zmobilizowałem...   21.05.2013, 00:09:07
- - arrtxp   Ok, dzięki.   21.05.2013, 00:11:57

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 7.10.2025 - 09:24
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn