Методы защиты от sql/php inj

Discussion in 'Болталка' started by shadowrun, 13 Nov 2011.

  1. shadowrun

    shadowrun Banned

    Joined:
    29 Aug 2010
    Messages:
    842
    Likes Received:
    170
    Reputations:
    84
    Доброго времени!
    Озадачили меня заданием создания сайта. Т.к. инфа на сайте будет периодически обновляться, пришлось крутить бд и пхп. Вот собственно прошу совета в реализации защиты проекта от разного рода инъекций... Ниже приведу способы, которыми я защищаюсь. Здоровая критика и дельные советы приветствуются.

    error_reporting(0); Вырубаю ошибки в пыхе
    isset(); проверяю существование переменных
    if (!preg_match("|^[\d]+$|", $)) проверяю, чтобы в поле были только цифры.
    Ну, и где инфа выводиться проверяю переменные на существования тегов < >, это больше к хсс, но все же.
     
  2. dimonx15

    dimonx15 New Member

    Joined:
    18 Aug 2011
    Messages:
    48
    Likes Received:
    3
    Reputations:
    1
    Нужно всего лишь фильтровать кавычки и прочее. Все гениальное-просто.
     
  3. Jerri

    Jerri Elder - Старейшина

    Joined:
    12 Jul 2009
    Messages:
    136
    Likes Received:
    377
    Reputations:
    22
    $i = (int)$_GET['i'];
     
  4. (Dm)

    (Dm) Elder - Старейшина

    Joined:
    8 Apr 2008
    Messages:
    261
    Likes Received:
    440
    Reputations:
    275
    Используй PDO, вопросы sql injection тебя больше не будут беспокоить
     
  5. aydin-ka

    aydin-ka Elder - Старейшина

    Joined:
    3 May 2009
    Messages:
    316
    Likes Received:
    98
    Reputations:
    29
    хороший Хакер всегда обойдет любую защиту
     
  6. shadowrun

    shadowrun Banned

    Joined:
    29 Aug 2010
    Messages:
    842
    Likes Received:
    170
    Reputations:
    84
    Так может прямо на странице указать пароль к админке и каталог выделить под шеллы? :D
     
  7. 4ikabym

    4ikabym Member

    Joined:
    19 Sep 2010
    Messages:
    182
    Likes Received:
    11
    Reputations:
    -5
    хахахха
    :cool:
     
  8. Osstudio

    Osstudio Banned

    Joined:
    17 Apr 2011
    Messages:
    638
    Likes Received:
    160
    Reputations:
    81
    Хороший спец по БС всегда обойдёт любого хакера. ;)
     
  9. Jerri

    Jerri Elder - Старейшина

    Joined:
    12 Jul 2009
    Messages:
    136
    Likes Received:
    377
    Reputations:
    22
    Книжек начитался? :D
     
  10. Osstudio

    Osstudio Banned

    Joined:
    17 Apr 2011
    Messages:
    638
    Likes Received:
    160
    Reputations:
    81
    Вот и я о том же... достаточно выявить, какие символы используются всегда для выполнения вредоносного кода, и их фильтровать ;)
     
  11. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,028
    Likes Received:
    306
    Reputations:
    86
    Ок, мы все ждем способов обхода фильтрации, приведенной ТСом.
    По сабжу я бы еще на массив проверял get/post/кукисы, хотя ты ошибки отрубил, но, все равно, это технично.
     
    _________________________
  12. shadowrun

    shadowrun Banned

    Joined:
    29 Aug 2010
    Messages:
    842
    Likes Received:
    170
    Reputations:
    84
    Ок, попробую реализовать. Кукисы не использую.
    Всем спасибо за ответы.
     
  13. (Dm)

    (Dm) Elder - Старейшина

    Joined:
    8 Apr 2008
    Messages:
    261
    Likes Received:
    440
    Reputations:
    275
    Возможно aydin-ka имел ввиду что есть множество векторов атаки не связанных с этим конкретным фильтром
     
  14. (Dm)

    (Dm) Elder - Старейшина

    Joined:
    8 Apr 2008
    Messages:
    261
    Likes Received:
    440
    Reputations:
    275
    shadowrun лапочка, PDO посмотри
    зачем тебе эти фильтры
     
  15. shadowrun

    shadowrun Banned

    Joined:
    29 Aug 2010
    Messages:
    842
    Likes Received:
    170
    Reputations:
    84
    Да не хочу заморачиваться :eek: . Но всеравно, спасибо, зай :) .
    PHP Data Objects оно?
     
  16. (Dm)

    (Dm) Elder - Старейшина

    Joined:
    8 Apr 2008
    Messages:
    261
    Likes Received:
    440
    Reputations:
    275
    угу, да там все просто и удобно
     
  17. aydin-ka

    aydin-ka Elder - Старейшина

    Joined:
    3 May 2009
    Messages:
    316
    Likes Received:
    98
    Reputations:
    29
    Да именно
     
Loading...