Walidacja danych. Opcje

[-arrtxp-]

Witam,
otóż, że jestem początkujący i piszę strukturalnie.
Mam pytanie:

[PHP] pobierz, plaintext 
	function spr_text($text){ 	
		if(!empty($text)){
			$search = array('@<script[^>]*?>.*?</script>@si', '@<[\/\!]*?[^<>]*?>@si', '@<style[^>]*?>.*?</style>@siU', '@<![\s\S]*?--[ \t\n\r]*>@' ); 
			$text = preg_replace($search, '', $text);
		}
		return $text = mysql_real_escape_string(nl2br(trim($text))); 
	}
[PHP] pobierz, plaintext 

Czy taka funkcja zabezpieczy przez Atak SQL Injection itp ?

Ten post edytował arrtxp 20.05.2013, 22:30:55

[com]

Ja tu raczej widzę przeszukiwanie pod kontem XSS niż SQL Injection, bo z SQL to chyba jedyny zwiazek ma mysql_real_escape_string()... ponadto poco nl2br ? i tworzenie z \n <br> które wczesniej usówasz funkcja trim, a potem jescze raz używasz trim(), przerost formy nad treścia polecam rzutowanie zmiennych, czy też PDO, zamiast takiej zabawy

Ten post edytował com 20.05.2013, 22:29:25

[-arrtxp-]

Ta... to teraz zastanów się jak atak SQL Injection wygląda...

[com]

Ja mam się zastnawiać?! no ja chyba wiem, powiedz mi jaki to ma zwiazem z <script>...</script>, mylisz pojęcia...

[-arrtxp-]

Hym, jeżeli wykonam update i wrzuce sobie tam własny skrypcik, to chyba nie chalo. Ta funkcja przed tym zabezpiecza... tak samo gdy chcę metodą post lub get zabawić się w wyciągnięcie danych. Czy niemam racji ?

[com]

ale gdzie wrzucisz ten skrypcik, tak jak powiedziałem XSS, a SQL Injection to dwie zupełnie inne kwestie, XSS polega min na wyciaganiu od usera sida sesji potrzebnego do dalszych manipulacji, a SQL Injection to nic innego jak manipulacja zawartoscia bazy danych, niekoniecznie majac do niej jawny dostęp... Tak jak powiedziałęm zapoznasz się z PDO i tam jest mase mechanizmów "ochronnych" których w pochodnych mysqlX nie ma i nie było, dzieki temu nie trzeba sie bawić w pisanie czegos takiego, bo to sie okazuje być zbedne a pozatym usuwanie encji z podciagu obsługuje jedna funkcja htmlentities()...

Ten post edytował com 20.05.2013, 22:51:27

[-arrtxp-]

SQL Injection przeprowadza się poprzez ?

[!*!]

Czy taka funkcja zabezpieczy przez Atak SQL Injection itp ?

Nie. Jak już wspomniał @com pomyliłeś bajki, a mysql_real_escape_string też specjalnie zabezpieczeniem nie jest, chyba że później jeszcze coś robisz.

SQL Injection przeprowadza się poprzez ?

http://pl.wikipedia.org/wiki/SQL_injection

[-arrtxp-]

No tak... i np: w polu input lub w w formularzu www pisze się odpowienią składnie.
I ta funkcja temu zapobiega... możecie przetestować.

[!*!]

Jaką składnie i czemu zapobiega, sql injection? Nie sądzę.

[com]

Jescze raz powiem to sie zwie atakiem XSS http://hack.pl/artykuly/dla-poczatkujacych/podstawy-xss.html i wystarczy do tego zastosować htmlentities() i wszytkie < > itd zamieni Ci na &lt i &gt zresztom co ja bede Ci mówił poczytaj manuala http://php.net/manual/en/function.htmlentities.php

Ten post edytował com 20.05.2013, 23:04:54

[-arrtxp-]

Skrypt usuwa znaki typu: " ' ", za pomocą, których dokonuję się SQL Injection.

[!*!]

Skrypt usuwa znaki typu: " ' ", za pomocą, których dokonuję się SQL Injection.

Skąd pomysł że to wystarczy? http://johnroach.info/2011/02/17/why-mysql...ection-attacks/
Poza tym preg_match odwoła się tylko do pierwszego ciągu wystąpienia.

Nie ma co rozwijać tego dalej, bo dużo już o tym było a temat chyba nawet jest przyklejony. Najlepiej zrobisz jak zaczniesz korzystać z PDO i bindowania.

Ten post edytował !*! 20.05.2013, 23:18:14

[Mackos]

Jeśli chcesz zabezpieczyć swoje zapytania do bazy danych skorzystaj z jakiejś gotowej biblioteki jak np. PDO.
Tutaj masz fajny tutorial http://pl.wikibooks.org/wiki/PHP/Biblioteka_PDO
Jeśli będziesz bindował wszystkie wartości wprowadzane do bazy, to będziesz miał całkiem bezpieczniej konstruowane zapytania.

[-arrtxp-]

No dobra... ale " ; " też nie przepuszcza ...

http://johnroach.info/2011/02/17/why-mysql...ection-attacks/

^^ żaden przykład nie przeszedł próby.

[com]

Skrypt usuwa znaki typu: " ' ", za pomocą, których dokonuję się SQL Injection.

htmlentities() też :
http://ideone.com/RMZk0Y

Ten post edytował com 20.05.2013, 23:27:09

[-arrtxp-]

" ; " nie przepuszcza ...

[!*!]

Nie wiem jak Ty to sprawdzasz, ale ja tam w funkcji wyżej widzę, że jednak przepuszcza "wszystko" jak leci.

[com]

Tak jak napisał !*! dalsza dywagacja na ten temat nie ma sensu, jak sugerowałem na początku, a potem poparli to inni ogarnij PDO i zapomnij o pisaniu takich funkcji które wniosły tyle że jak twierdzisz usunąłeś przecinek z podciągu, gra nie warta świeczki...

Ten post edytował com 20.05.2013, 23:38:29

[-arrtxp-]

Y? podaj mi co wklepujesz.