11/04/2007 09:21:53
דרקולה4אבאר
טוב אני בזמנים האלה עובד על מערכת הגנה לפורומים (PHP) שהולכת לחסום כל מיני ניסיונות של הזרקת SQL ו XSS . הכנתי את קובץ ה variables.php שזה קובץ שבו יהיו כל המחרוזות שהוא יחסום עם משהו ייכתוב אותם. הינה קטע קוד של הסקריפט:
אז, יש פה למשהו הצעה, מה אני יכול להוסיף עוד לסקריפט הזה ?
11/04/2007 09:58:23
Rx3vL0n
אני לא הכי מומחה לPHP אבל מה שעשית במערך של INJ SQL בעצם לא יאפשר בכלל שאילתות או שהמערכים שמדובר בדף הם רק קלט... ובקשר לXSS אפשר לעשות מה שעשו לאתר של IUC לולאה שגורמת לקריסת הדף והפניתו לדף אחר שיכול לגרום לפישיינג אבל מכיוון שזה פורומים אז זה לא הכי רלוונטי אבל עדיין המון אופציות בXSS לכן אולי תחפש בגוגל עוד דברים שניתן לנצל בעזרת XSS אולי יהיה לך יותר קל מה כן אפשר להכניס ולא מה שאי אפשר ככה בכול אופן אני חושב.[ההודעה נערכה על-ידי Rx3vL0n ב-11/04/2007 09:59:48]
08/05/2007 23:30:44
T4uSBaZ
תראה, תלוי מה אתה רוצה. אם אתה רוצה הגנה נגד XSS ושהמשתמש לא יכול לכתוב עם HTML (כתב מודגש וכאלו) פשוט תעשה htmlspecialchars למשתנה שמקבל. ב SQL INJ אתה יכול לעשות גם htmlspecialchars, ואם זה פרמטרים של מספרים תבדוק שזה מתאים לך לקריטריונים (לדוגמא ID שהוא חייב להיות 1 והילך) למרות של SQL INJ יש פונקציה מיוחדת למיטב ידיעתי.
אם אתה רוצה תווי HTML ספציפיים, תעשה את השיטה של המערך, מערך מלא סטרינגים שאפשר, אז תסרוק את המחרוזת לHTML, תשווה עם המערך ואם זה לא נמצא אז תעשה לו htmlspecialchars.
07/08/2007 20:49:10
T0-R3ST
תוסיף לSQL : delete update insert וכו’
14/08/2007 20:11:03
koler
מה עם סימנים כמו?: ’ % & * + - ^ ) ( וכו’... תחסום גם פונקציות אולי זה מזיק: http://www.webmaster.org.il/guide.asp?subject=sql&class=functions
