[php]Funkcja zabezpieczenia Opcje

[village_boy]

Chciałbym przedstawić do oceny, a właściwie do poprawki prostą funkcję, która ma za zadanie zabezpieczać przed SQL injection i innymi atakami. Oto kod:

Kod

function walidator($zrodlo) {
global $zrodlo;
$zrodlo = stripslashes($zrodlo);
if (eregi("system", $zrodlo) || eregi("UNION", $zrodlo) || eregi("select", $zrodlo) || eregi("include", $zrodlo)) {
$ip = $_SERVER['REMOTE_ADDR'];
$powod = $zrodlo;
$query = "INSERT INTO ban (ip, powod, data) VALUES ('$ip', '$zrodlo', now())";
$result = mysql_query($query) or die("Lol...");
die();
} else {
return 0;
}
}

Co w tej funkcji można jeszcze umieścić - czyt. funkcje, warunki itp. Dzięki z góry za pomoc

Ten post edytował village_boy 12.12.2006, 15:57:31

[dtb]

jaki to ma sens?:

[PHP] pobierz, plaintext 
<?php
function walidator($zrodlo) {
global $zrodlo;
?>
[PHP] pobierz, plaintext 

zamierzasz potem uzywac 'powod' w funkcji eval? jak nie to po co ci include? jak tak to powinnes dodaj jeszcze include_once, require, require_once.

prawde mowiac to wszystko jest bez sensu. nie potrzebnie mieszasz. stripslashes powinno wystarczyc

Ten post edytował dtb 12.12.2006, 16:16:26

[village_boy]

Więc tak:
Pod $zrodlo będę podpinał dane z formularza, które mają wyłapywać słowa takie jak insert itp. Przecież te słowa nie powinny być wykorzystywane np. w księdze gości, prawda ?

$powod to jak pole z formularza które zostało przesłane do funkcji. Jeżeli użytkownik będzie próbował SQL Injection, to funkcja wyłapie to i wklei do bazy danych. Gdyby funkcja niesłusznie zbanowała użytkownika, będzie mógł zgłosić się, podać swoje ip i wtedy będzie można rozpatrzyć, czy atakował świadomie czy po prostu użył zabronionego słowa.

zamierzasz potem uzywac 'powod' w funkcji eval? jak nie to po co ci include? jak tak to powinnes dodaj jeszcze include_once, require, require_once.

Przepraszam, ale gdzie Ty tam widzisz include?

Ten post edytował village_boy 13.12.2006, 14:14:19