Zabezpieczenia skryptów PHP

Zabezpieczenia skryptów PHP, mysql_real_escape_string(); i inne tego typu...

modern-web Zobacz profil	29.10.2010, 16:07:33 Post #1
Grupa: Zarejestrowani Postów: 763 Pomógł: 117 Dołączył: 15.03.2010 Skąd: void Ostrzeżenie: (0%)	Witam wszystkich! Ostatnio poczytałem bardzo dużo na temat SQL Injection oraz innych tego typu atakach. Posiadam przykładowy skrypt: [PHP] pobierz, plaintext $abc = trim($_POST['abc']); mysql_real_escape_string($abc); [PHP] pobierz, plaintext I moje pytania są następujące: 1. Jest on poprawny? 2. Jeśli tak to jak można dodatkowo zabezpieczyć zapytania do baz danych/formularze itp... 3. Jeśli nie to proszę o jakiś zamiennik lub wskazanie błędu (IMG:style_emoticons/default/smile.gif) Z góry dzięki za pomoc. Pozdrawiam. P.S. Przepraszam jeśli temat się powtarza, ale nigdzie nie znalazłem podobnej sytuacji do tej, w której się znajduję. Ten post edytował modern-web 29.10.2010, 16:16:20

Odpowiedzi

kilas88 Zobacz profil	30.10.2010, 00:37:51 Post #2
Grupa: Zarejestrowani Postów: 305 Pomógł: 25 Dołączył: 27.01.2007 Ostrzeżenie: (0%)	http://php.net/manual/pl/book.filter.php btw. http://dev.kohanaframework.org/projects/ko...aries/Input.php nieźle - setka wyrażeń regularnych, odwołania do HTML Purifier (który składa się z kilkuset plików / setek wyrażeń), etc - to rozwiązanie musi być bardzo wolne, niemniej na pewno bezpieczne. pokazuje to tylko, jak bardzo warto zacząć korzystać z PDO i prepared statements / stored procedures gdzie tylko możemy.

jang Zobacz profil	30.10.2010, 09:24:25 Post #3
Grupa: Zarejestrowani Postów: 101 Pomógł: 11 Dołączył: 2.02.2005 Ostrzeżenie: (0%)	Cytat(kilas88 @ 30.10.2010, 01:37:51 ) btw. http://dev.kohanaframework.org/projects/ko...aries/Input.php nieźle - setka wyrażeń regularnych, odwołania do HTML Purifier (który składa się z kilkuset plików / setek wyrażeń), etc - to rozwiązanie musi być bardzo wolne, niemniej na pewno bezpieczne. pokazuje to tylko, jak bardzo warto zacząć korzystać z PDO i prepared statements / stored procedures gdzie tylko możemy. @kilas88 nie jestem zwolennikiem kohany a więc to nie wojna polsko-polska (IMG:style_emoticons/default/smile.gif) ale 1. nie setka wyrażeń regularnych a 10% z tego co podałeś 2. "odwołania do HTML Purifier" - aby skorzystać z HTML Purifier to musisz tego chcieć a więc musiałbyś [PHP] pobierz, plaintext $input->xss_clean($suspect_input, 'htmlpurifier'); [PHP] pobierz, plaintext a wystarczy [PHP] pobierz, plaintext $input->xss_clean($suspect_input); [PHP] pobierz, plaintext

Posty w temacie

modern-web Zabezpieczenia skryptów PHP 29.10.2010, 16:07:33

Pawel_W nie, nie jest poprawny, bo żeby przefiltrować dane... 29.10.2010, 16:16:50

Crozin Temat: Bezpieczenstwo skryptow PHP btw: jest 2010... 29.10.2010, 16:19:38

modern-web No dobrze... Rozumiem, że mam przekształcać wszyst... 29.10.2010, 16:43:06

Mephistofeles Jeśli nie są zbyt skomplikowane i mózg ci przy tym... 29.10.2010, 22:37:24

modern-web O mnie nie masz się co martwić Skrypty nie są łat... 29.10.2010, 22:48:42

jang Cytat(modern-web @ 29.10.2010, 23:48... 30.10.2010, 00:22:57

konrados Użyj jeszcze htmlspecialchars, bo mysql_real_escap... 29.10.2010, 23:33:49

kilas88 http://php.net/manual/pl/book.filter.php btw. htt... 30.10.2010, 00:37:51

jang Cytat(kilas88 @ 30.10.2010, 01:37:51 ... 30.10.2010, 09:24:25

modern-web Macie jeszcze kilka pomysłów? Oczywiście pomijając... 30.10.2010, 13:32:34

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 7.10.2025 - 20:58

Hosting zapewnia

Forum PHP.pl