Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [php/sql] Zabezpieczenia skryptu, ptasia grypa nadciaga :P
right6
post 14.04.2006, 12:10:59
Post #1





Grupa: Zablokowani
Postów: 206
Pomógł: 0
Dołączył: 9.03.2006

Ostrzeżenie: (0%)
-----

Mam pytanie do szanownego grona forumowiczów.

W miare jak mi sie skrypt rozrasta (juz 18 tys. lini na liczniku tongue.gif), czas pomyslec powaznie o zabezpieczeniach.
zeby uniknac sytuacji ze ktos wpisze ' i skrypt padnie, bo SQL sie sypnie, albo ze ktos wpakuje ifrem'a szer. 1000 px i mi rozwali strone przy wyswietlaniu, nie mowiac o ciagu 500 znaków bez spacji czy innych poczynaniach.

No i mam pare pytan. Na razie chce wykonac zabezpieczenia tylko zapisu do MySQL'a, i odczytu z niego.

czyli, to co mi przyszlo do glowy co trzeba zabezpieczyc:
- tagi HTML'a
- znaki specjalne jak np '
- zeby sie nie wykonal wpisany kod php, czy JS
- pozamieniac jakies krzaczki pochodzace np. w Word'a

no i cuz jeszcze questionmark.gif no wlasnie pominolem cos questionmark.gif

zaczolem tez dzialac: oto co nazbieralem.

[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3. $text = strip_tags( $text, '<b><i><u><br><span><font><p><a><h1><h2><h3><ul><li>' );
  4.  
  5.  
  6.  
  7.  
  8. ?>
[PHP] pobierz, plaintext


teraz sie zastanawiam czy takie cos
[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3.      // znaki specjalne
  4. $text = str_replace('&amp;plusmn;', '&plusmn;', $text);
  5. $text = str_replace('&amp;trade;', '&trade;', $text);
  6. $text = str_replace('&amp;bull;', '&bull;', $text);
  7. $text = str_replace('&amp;deg;', '&deg;', $text);
  8. $text = str_replace('&amp;copy;', '&copy;', $text);
  9. $text = str_replace('&amp;reg;', '&reg;', $text);
  10. $text = str_replace('&amp;hellip;', '&hellip;', $text);
  11.  
  12. // błędne kodowanie m.in. z phpmyadmina
  13. $text = str_replace('&amp;#261;', 'ą', $text);
  14. $text = str_replace('&amp;#263;', 'ć', $text);
  15. $text = str_replace('&amp;#281;', 'ę', $text);
  16. $text = str_replace('&amp;#322;', 'ł', $text);
  17. $text = str_replace('&amp;#347;', 'ś', $text);
  18. $text = str_replace('&amp;#378;', 'ź', $text);
  19. $text = str_replace('&amp;#380;', 'ż', $text);
  20.  
  21. // znaki specjalne z m$ word
  22. $text = str_replace('&amp;#177;', 'ą', $text);
  23. $text = str_replace('&amp;#8217;', ''', $text);
  24. $text = str_replace('&amp;#8222;', '"', $text);
  25. $text = str_replace('&amp;#8221;', '"', $text);
  26. $text = str_replace('&amp;#8220;', '"', $text);
  27. $text = str_replace('&amp;#8211;', '-', $text);
  28. $text = str_replace('&amp;#8230;', '&hellip;', $text);
  29.          
  30.  
  31. ?>
[PHP] pobierz, plaintext

wykonac przed zapisem do bazy czy juz przy wyswietlaniu questionmark.gifquestionmark.gif?

a takie cos ? przed zapisem czy po questionmark.gif czy nie mozna tego prosciej zrobic questionmark.gif
Kod
   /*Zabezpieczenie przed zadługimi wpisami*
   $nowatresc = explode( " ", $text );
   //liczymy elementy tablicy
   $total = sizeof( $nowatresc );
   //przy pomocy pętli pobieramy każdy element tablicy i mierzymy
   for( $i=0; $total > $i; $i++ )
   {
       //jeśli długość któregoś z elementów tablicy przekracza 30 znaków
       //zmienna weryfikacja jest pusta
       if( strlen( $nowatresc[$i] ) > "30" )
       {
           $weryfikacja="";
       }
   }
   //jeśli weryfikacja jest pusta informujemy że wystąpił błąd
   if ( $weryfikacja!="ok" )
   {
       echo"Za długi wyraz, chińczyków nie obsługujemy";
   }
   else
   {
       echo"Wszystko w porządku";
       //tu wykonują się dalsze czynności skryptu
       //jeśli wszystko jest w porządku
   }


i jeszce anty JS
[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3.  
  4. // anti js
  5. Function js($text)
  6. {
  7.   if(!eregi('<a href=\"javascript:mailto:mail\('',$text[0]))
  8.   {
  9.     return str_replace('javascript','java_script',$text[0]);
  10.   }
  11.     else
  12.   {
  13.     return $text[0];
  14.   }
  15. }
  16.  
  17. ?>
[PHP] pobierz, plaintext



i jak sie zabezpieczyc przed wykonaniem zapytania SQL i kodu php ?

o czyms zapomnialem questionmark.gif?

Ten post edytował right6 15.04.2006, 11:53:40


--------------------
To ja invx sie nazywam ... przepraszam i dziekuje ...
Go to the top of the page
+Quote Post

Posty w temacie
- right6   [php/sql] Zabezpieczenia skryptu   14.04.2006, 12:10:59
- - phobos   poczytaj sobie moze o takich 2 funckjach , ktore n...   14.04.2006, 15:27:29
- - kszychu   Poza tym, str_replace może przyjmować tablice jako...   14.04.2006, 15:35:51
- - right6   ale na moje kluczowe pytania dalej nie mam odpowie...   14.04.2006, 17:01:51
- - phobos   proponuje ci cos takiego ten tekst co dostajesz z ...   14.04.2006, 17:17:34
- - AxZx   dziwne, napisales juz 18 tys linii kodu i dopiero ...   14.04.2006, 17:20:36
- - right6   phobos - ale to nie zabezpiecza przed wszytskim. ...   14.04.2006, 18:16:15
- - phobos   to napisz czego nie zabezpiecza ...   14.04.2006, 18:17:28
- - right6   nieusuwa blednego kodowania, nie usuwa js.   15.04.2006, 08:34:21
- - NuLL   http://forum.php.pl/index.php?showtopic=23258 Moz...   15.04.2006, 11:31:21
- - piwib   Korzystając z tematu mam zapytanie... Potrzebuje ł...   19.04.2006, 23:22:19
- - envp   Sposob prosty, ale malo uzyteczny, bo mozesz zabez...   20.04.2006, 08:35:43
- - piwib   No ok rzuć mi na piotrek369@tlen.pl zobacze i prze...   20.04.2006, 22:04:10
- - matrach   mysql_escape_string() -zamiana znaków specjalnych ...   20.04.2006, 22:33:20

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Wersja Lo-Fi Aktualny czas: 31.07.2025 - 10:44
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn