Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Nietypowa walidacja, problem z bezpieczenstwem
lukaskolista
post
Post #1





Grupa: Zarejestrowani
Postów: 872
Pomógł: 94
Dołączył: 31.03.2010

Ostrzeżenie: (0%)
-----

Witam. Musze do bazy danych zapisac teksty uzytkownikow z tinymce editora. Musze to jednak zrobic w czystej postaci: nie moge przepuscic tekstu przez htmlspecialchars)= i zapisac do bazy, a nastepnie przy wyswietlaniu uzyc htmlspecialchars_decode(). Musze zapisac je ze znakami specjalnymi. W tym wlasnie problem. W takim przypadku edytor tekstowy staje sie okienkiem do wpisywania polecen dla hakerow. Macie moze pomysl, jak rozwiazac ten problem? Z gory dziekuje za pomoc:)
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
piotr94
post
Post #2





Grupa: Zarejestrowani
Postów: 331
Pomógł: 30
Dołączył: 11.11.2008
Skąd: Kraków

Ostrzeżenie: (0%)
-----

a filtrowanie słów "kluczowych" dla zapytań SQL typu OR, AND itp. i odpowiednia zamiana ich na kody &xxx; (IMG:style_emoticons/default/questionmark.gif)
powinno zatrzymać hakerów, bo do bazy nie pójdzie wtedy na pewno nic co by mogło zmienić zapytanie
moim zdaniem i tak to ewidentny błąd osoby u której to się będzie wyświetlać, ale skoro masz takie obligacje to postaram się jakoś pomóc

Ten post edytował piotr94 22.07.2010, 09:25:35
Go to the top of the page
+Quote Post

Posty w temacie
- lukaskolista   Nietypowa walidacja   22.07.2010, 08:47:31
- - piotr94   dlaczego nie możesz przepuścić przez te funkcje i ...   22.07.2010, 09:14:59
- - lukaskolista   jakbym mogl to bym nie pisal tematu W bazie musza...   22.07.2010, 09:16:22
- - piotr94   a filtrowanie słów "kluczowych" dla zapy...   22.07.2010, 09:23:43
- - lukaskolista   Doklanie to co jest w bazie jest przetwarzane prze...   22.07.2010, 09:29:47
- - piotr94   fraz php nie musisz filtorwać, chyba, że gdzieś je...   22.07.2010, 09:39:02
|- - fifi209   Cytat(piotr94 @ 22.07.2010, 09:39:02 ...   27.07.2010, 09:56:38
- - lukaskolista   dzieki:) sprobuje Tak sie zastanawiam, czy nie ma...   27.07.2010, 09:03:53
- - Pilsener   Nie chcę być złośliwy, ale wystarczy zastąpić or |...   28.07.2010, 07:58:00
- - fander   Nie wiem dlaczego podchodzicie do tego w taki spos...   28.07.2010, 09:07:05
- - cojack   addslashes ma błąd i jest sposób na to by go obejś...   28.07.2010, 12:23:46
- - piotr94   bardzo ciekawe te poradniki Nieznanego dzięki za ...   28.07.2010, 17:39:15
- - MacDada   Poczytaj do bindValue() w PDO: http://pl.wikibooks...   28.07.2010, 18:07:10

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 18.10.2025 - 02:38
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn