Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> działanie funkcji (filtra)
szczypior
post
Post #1





Grupa: Zarejestrowani
Postów: 98
Pomógł: 0
Dołączył: 5.02.2007

Ostrzeżenie: (0%)
-----

Witam

Napisałem do formularza funkcje mającą na celu zabezpieczenie bazy przed atakami sqlinjection:

[PHP] pobierz, plaintext 
  1. <?php
  2. function sprawdz($dane)
  3. {
  4. 	if (!get_magic_quotes_gpc())
  5. 	{
  6. 		$dane = mysql_real_escape_string($dane);
  7. 		$dane = addslashes ($dane);
  8. 		$dane = htmlspecialchars($dane, ENT_QUOTES);
  9. 	}
  10. 		return $dane;
  11. }
  12. ?>
[PHP] pobierz, plaintext


dane do sprawdzenia wprowadzane są tak:
[PHP] pobierz, plaintext 
  1. <?php
  2. $login = sprawdz($_POST[login]);
  3. $pass = sprawdz($_POST[pass]);
  4. ?>
[PHP] pobierz, plaintext


Po wpisaniu do formularza danych:
Cytat
<a href="bla">asd</a>
i
Cytat
'"/\ <>()
nie uległy one żadnej zmianie i w identycznej formie widoczne są bazie otworzonej w phpmyadmin

W czym może być problem?

PS. Czy połączenie tych trzech filtrów jest ok? Nie przekombinowałem? (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ten post edytował szczypior 13.07.2007, 23:44:13
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
flv
post
Post #2





Grupa: Zarejestrowani
Postów: 130
Pomógł: 1
Dołączył: 29.06.2007

Ostrzeżenie: (0%)
-----

Stosowanie addslashes i mysql_real_escape_string jednocześnie nie zabezpieczy cie przed niczym. Wyescape'uje niebezpieczny tekst podwójnie, a jak wiadomo podwójny backslash oznacza tyle co zwykły znak '\', co za tym idzie do niebezpiecznego znaku doda się tylko backslash traktowany jako zwykły znak.

Ten post edytował flv 14.07.2007, 14:00:31
Go to the top of the page
+Quote Post

Posty w temacie
- szczypior   działanie funkcji (filtra)   13.07.2007, 23:43:45
- - Blodo   Nie powinno byc przypadkiem tak? [PHP] pobierz, p...   14.07.2007, 00:27:14
- - szczypior   w ten sposób faktycznie działa, co prawda spotykał...   14.07.2007, 10:37:57
- - flv   Stosowanie addslashes i mysql_real_escape_string j...   14.07.2007, 13:44:05
- - abc667   nie do końca bo każdy znak traktowany jest przecie...   14.07.2007, 14:08:14

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 23.08.2025 - 13:10
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn