Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Reply to this topicStart new topic
> działanie funkcji (filtra)
szczypior
post 13.07.2007, 23:43:45
Post #1





Grupa: Zarejestrowani
Postów: 98
Pomógł: 0
Dołączył: 5.02.2007

Ostrzeżenie: (0%)
-----

Witam

Napisałem do formularza funkcje mającą na celu zabezpieczenie bazy przed atakami sqlinjection:

[PHP] pobierz, plaintext 
  1. <?php
  2. function sprawdz($dane)
  3. {
  4. 	if (!get_magic_quotes_gpc())
  5. 	{
  6. 		$dane = mysql_real_escape_string($dane);
  7. 		$dane = addslashes ($dane);
  8. 		$dane = htmlspecialchars($dane, ENT_QUOTES);
  9. 	}
  10. 		return $dane;
  11. }
  12. ?>
[PHP] pobierz, plaintext


dane do sprawdzenia wprowadzane są tak:
[PHP] pobierz, plaintext 
  1. <?php
  2. $login = sprawdz($_POST[login]);
  3. $pass = sprawdz($_POST[pass]);
  4. ?>
[PHP] pobierz, plaintext


Po wpisaniu do formularza danych:
Cytat
<a href="bla">asd</a>
i
Cytat
'"/\ <>()
nie uległy one żadnej zmianie i w identycznej formie widoczne są bazie otworzonej w phpmyadmin

W czym może być problem?

PS. Czy połączenie tych trzech filtrów jest ok? Nie przekombinowałem? smile.gif

Ten post edytował szczypior 13.07.2007, 23:44:13


--------------------
Pytania i odpowiedzi na każdy temat - ZapytajSie.pl
Darmowe aliasy i liczniki odwiedzin - RFV.pl
Go to the top of the page
+Quote Post
Blodo
post 14.07.2007, 00:27:14
Post #2





Grupa: Zarejestrowani
Postów: 51
Pomógł: 1
Dołączył: 1.02.2005

Ostrzeżenie: (0%)
-----

Nie powinno byc przypadkiem tak?

[PHP] pobierz, plaintext 
  1. <?php
  2. function sprawdz($dane)
  3. {
  4. 	$dane = mysql_real_escape_string($dane);
  5. $dane = htmlspecialchars($dane, ENT_QUOTES);
  6. if (!get_magic_quotes_gpc())
  7. 	{
  8. 		$dane = addslashes ($dane);
  9. 	}
  10. 		return $dane;
  11. }
  12. ?>
[PHP] pobierz, plaintext


Pamietaj ze magicquotes to tylko takie automatyczne addslashes. Swoja droga aby moc uzywac mysql_real_escape_string musisz miec otwarte polaczenie mysql. Dziwne to, ale tak to dziala.
Go to the top of the page
+Quote Post
szczypior
post 14.07.2007, 10:37:57
Post #3





Grupa: Zarejestrowani
Postów: 98
Pomógł: 0
Dołączył: 5.02.2007

Ostrzeżenie: (0%)
-----

w ten sposób faktycznie działa, co prawda spotykałem się juz z zapisem mysql_real_escape_string jest właśnie w tym ifie.


Czy stosowanie jednocześnie addslashes i mysql_real_escape_string to nie przesada? Bo chyba działają podobnie


--------------------
Pytania i odpowiedzi na każdy temat - ZapytajSie.pl
Darmowe aliasy i liczniki odwiedzin - RFV.pl
Go to the top of the page
+Quote Post
flv
post 14.07.2007, 13:44:05
Post #4





Grupa: Zarejestrowani
Postów: 130
Pomógł: 1
Dołączył: 29.06.2007

Ostrzeżenie: (0%)
-----

Stosowanie addslashes i mysql_real_escape_string jednocześnie nie zabezpieczy cie przed niczym. Wyescape'uje niebezpieczny tekst podwójnie, a jak wiadomo podwójny backslash oznacza tyle co zwykły znak '\', co za tym idzie do niebezpiecznego znaku doda się tylko backslash traktowany jako zwykły znak.

Ten post edytował flv 14.07.2007, 14:00:31
Go to the top of the page
+Quote Post
abc667
post 14.07.2007, 14:08:14
Post #5





Grupa: Zarejestrowani
Postów: 229
Pomógł: 0
Dołączył: 29.05.2007

Ostrzeżenie: (0%)
-----

nie do końca bo każdy znak traktowany jest przecież osobno
Go to the top of the page
+Quote Post
« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Wersja Lo-Fi Aktualny czas: 10.08.2025 - 05:54
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn