ФорумПрограммированиеPHP для идиотов → Защита

Защита

  • tartar

    Сообщения: 186 Репутация: N Группа: Кто попало

    Spritz 17 июля 2010 г. 19:21

    Здравствуйте!

    В свободное время часто пишу разного рода сайты для практики.
    Постепенно научился читать скрипты )

    Но я мало знаком с защитой скрипта.
    1.Пользуюсь mysql_real_escape_string() против разного рода ( '=' )

    2. Сделал скрипт проверяет содержимое ($_SERVER['REQUEST_URI'])
    если находит слова (include,delete,drop,union,order by…)
    то сразу exit();

    3. Содержимое id=? проверяется если не только цифры там то exit();

    Жду советов :)
    Как можно защитить сайт от Blind SQL Injection

    Прочит статью про это там вроде через SIPT(прога) можно отправлять запросы
    на сайт а именно на файл который отвечает за авторизацию.

    Просто хочу узнать новые способы защиты сайта.
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 17 июля 2010 г. 19:32, спустя 10 минут 40 секунд

    лоло))

    1. используй, 2 и 3 методы порождают пиздец ошибки, которые хуй отловишь, эдво подтвердит, да эдво?) как там наш юнион на пыхе))))))
    Сапожник без сапог
  • tartar

    Сообщения: 186 Репутация: N Группа: Кто попало

    Spritz 17 июля 2010 г. 19:42, спустя 10 минут

    phpdude, 2 метод заметил что если на сайте будет файл localhost.com/union.php то выдаст ошибку потому что есть слово union которую скрипт
    видит как вредоносную комманду.

    А вот 3 метод не должен вроде проблем делать
    ID должен содержать только цифры если по нему вытаскивается инфа из базы по id.
    если там будет ?id=' сразу ошибка и возможен взлом как я понял )
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 17 июля 2010 г. 19:47, спустя 5 минут 32 секунды

    tartar, вы по дороге перед собой раскидываете грабли, на которые неприменно в будущем наступите, послушайте совет :)

    1го варинта достаточно
    Сапожник без сапог
  • tartar

    Сообщения: 186 Репутация: N Группа: Кто попало

    Spritz 17 июля 2010 г. 19:57, спустя 9 минут 35 секунд

    А в случае Blind SQL Injection что нужно иметь ввиду при написании кода ?
    а именно для скрипта авторизации.
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 17 июля 2010 г. 20:06, спустя 8 минут 53 секунды

    Blind SQL Injection

    а чем этот термин крутой отличается от обычной sql injection? :)
    Сапожник без сапог
  • Faster

    Сообщения: 1159 Репутация: N Группа: Кто попало

    Spritz 17 июля 2010 г. 20:16, спустя 10 минут 51 секунду

    блин-d
  • tartar

    Сообщения: 186 Репутация: N Группа: Кто попало

    Spritz 17 июля 2010 г. 20:51, спустя 34 минуты 44 секунды

    хз :) blind - слепой
    Наверное SQL Injection в слепую.

    Мне главное узнать как остальные защищают свои сайты - советы )
  • krasun

    Сообщения: 1370 Репутация: N Группа: Джедаи

    Spritz 17 июля 2010 г. 21:21, спустя 29 минут 24 секунды

    mysql_real_escape…, дуд уже все сказал
  • krasun

    Сообщения: 1370 Репутация: N Группа: Джедаи

    Spritz 17 июля 2010 г. 21:27, спустя 6 минут 55 секунд

    да лучше так: "тут уже надудели"
  • tartar

    Сообщения: 186 Репутация: N Группа: Кто попало

    Spritz 17 июля 2010 г. 21:31, спустя 4 минуты

    krasun, ))
    Ясно спасибо всем кто отписался в теме.
  • soul

    Сообщения: 790 Репутация: N Группа: Кто попало

    Spritz 18 июля 2010 г. 1:38, спустя 4 часа 6 минут 7 секунд


    хз :) blind - слепой
    Наверное SQL Injection в слепую.

    Мне главное узнать как остальные защищают свои сайты - советы )


    я просто все данные добавляемые обрабатываю htmlspesialchars($data, ENT_QUOTES)
  • kostyl

    Сообщения: 5210 Репутация: N Группа: Джедаи

    Spritz 18 июля 2010 г. 11:41, спустя 10 часов 3 минуты 50 секунд

    soulgarden, он не спрашивал про CSS
    Спустя 44 сек.
    а лучшая защита - это нападение

Пожалуйста, авторизуйтесь, чтобы написать комментарий!