Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP][MySQL]Bezpieczeństwo strony
Asuri
post
Post #1





Grupa: Zarejestrowani
Postów: 5
Pomógł: 0
Dołączył: 2.07.2014

Ostrzeżenie: (0%)
-----

Witam, jestem w trakcie tworzenia pierwszej strony która będzie odwiedzana przez większą ilość użytkowników. I tu się trochę obawiam o bezpieczeństwo dlatego wolę zapytać czy mój kod jest wystarczająco bezpieczny.

Na stronie będzie wiele formularzy. Każda zmienna z formularza jest filtrowana w ten sposób:
[PHP] pobierz, plaintext 
  1. <?php function clear($text) {
  2.     if(get_magic_quotes_gpc()) {
  3.         $text = stripslashes($text);
  4. }
  5. 	$text=mysql_real_escape_string(htmlentities(trim($text)));
  6.     return $text;
  7. } ?>
[PHP] pobierz, plaintext

A do bazy danych dane przesyła się tak:
[PHP] pobierz, plaintext 
  1. $zap="INSERT INTO `chat` (`od`, `time`, `say`) VALUES
  2.  ('$anon_nick', '$time', '$say')";
  3. mysql_query($zap) or die('Dodanie wpisu nie powiodło się.');
[PHP] pobierz, plaintext

I tu pytanie czy to jest bezpieczny sposób? Myślałem jeszcze o zamienieniu znaku apostrof i cudzysłowia na encję by przy wyświetleniu zamieniało z powrotem na ten znak. W niektórych przypadkach nie mogę zabronić użytkownikom używania tych znaków ale wiem, że można ich użyć do ataku, więc czy zamiana ' i " na encję sprawi, że kod sql injection się nie wykona? Jeśli tak to: Zauważyłem, że funkcja htmlentities zamienia cudzysłów na encję (w bazie danych jest encja a w przeglądarce widać z powrotem cudzysłów) i to samo ze znakami >< jednak pozostał znak ' czyli apostrof i tu pytanie czy jest funkcja która zrobi to samo z tym znakiem czy muszę zamieniać znak na encję oraz przy wyjściu samodzielnie zamieniać encję na apostrof?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Asuri
post
Post #2





Grupa: Zarejestrowani
Postów: 5
Pomógł: 0
Dołączył: 2.07.2014

Ostrzeżenie: (0%)
-----

Cytat(Crozin @ 8.10.2014, 14:10:44 ) *
Korzystasz z przestarzałych funkcji mysql_query i pokrewnych.

Czyli powinienem przerzucić się na PDO?

Cytat(Crozin @ 8.10.2014, 14:10:44 ) *
powinieneś używać przed wyświetleniem danych w dok. HTML, nie przy wrzucaniu danych do bazy.

Dlaczego? Kilka razy w internecie widziałem tą uwagę ale nigdy żadnego wyjaśnienia, więc pytam bo chcę wiedzieć gdzie leży różnica.

"Czy w necie jest jakis serwis: Kompedium błędnej wiedzy archaicznej?"
Tak, jest. Masa darmowych poradników pisana prawdopodobnie przez innych początkujących a ci lepsi nie chcą dzielić się za darmo wiedzą. Napisaliście mi, że źle robię ale naprowadzić na dobrą drogę to nie bardzo. Jedyne co od was się dowiedziałem konkretnego to, że powinienem zamieniać na encję przy wyświetleniu ale dlaczego to już nie, więc de facto nic konkretnego się nie dowiedziłem. Dzięki.
Go to the top of the page
+Quote Post

Posty w temacie
- Asuri   [PHP][MySQL]Bezpieczeństwo strony   8.10.2014, 12:59:19
- - Crozin   Nie, Twój kod nie jest bezpieczny. Korzystasz z pr...   8.10.2014, 13:10:44
- - nospor   Kod podanej przez Ciebie funkcji Clear() bardzo cz...   8.10.2014, 15:05:31
- - Asuri   Cytat(Crozin @ 8.10.2014, 14:10:44 ) ...   8.10.2014, 16:33:17
- - nospor   A teraz czytamy ze zrozumieniem: CytatPoczytaj o a...   8.10.2014, 16:50:20

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 9.10.2025 - 03:03
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn