Здравствуйте!
В свободное время часто пишу разного рода сайты для практики.
Постепенно научился читать скрипты )
Но я мало знаком с защитой скрипта.
1.Пользуюсь mysql_real_escape_string() против разного рода ( '=' )
2. Сделал скрипт проверяет содержимое ($_SERVER['REQUEST_URI'])
если находит слова (include,delete,drop,union,order by…)
то сразу exit();
3. Содержимое id=? проверяется если не только цифры там то exit();
Жду советов :)
Как можно защитить сайт от Blind SQL Injection
Прочит статью про это там вроде через SIPT(прога) можно отправлять запросы
на сайт а именно на файл который отвечает за авторизацию.
Просто хочу узнать новые способы защиты сайта.
новые сообщения
ответы на мои сообщения
избранное
скрытые темы
случайный топик
открыть всё в новых вкладках
Форум → Программирование → PHP для идиотов → Защита
Защита
-
Сообщения:
186
Репутация:
N
Группа:
Кто попало
-
Сообщения:
26646
Репутация:
N
Группа:
в ухо
17 июля 2010 г. 19:32, спустя 10 минут 40 секунд
лоло))
1. используй, 2 и 3 методы порождают пиздец ошибки, которые хуй отловишь, эдво подтвердит, да эдво?) как там наш юнион на пыхе))))))Сапожник без сапог -
Сообщения:
186
Репутация:
N
Группа:
Кто попало
17 июля 2010 г. 19:42, спустя 10 минут
phpdude, 2 метод заметил что если на сайте будет файл localhost.com/union.php то выдаст ошибку потому что есть слово union которую скрипт
видит как вредоносную комманду.
А вот 3 метод не должен вроде проблем делать
ID должен содержать только цифры если по нему вытаскивается инфа из базы по id.
если там будет ?id=' сразу ошибка и возможен взлом как я понял ) -
Сообщения:
26646
Репутация:
N
Группа:
в ухо
17 июля 2010 г. 19:47, спустя 5 минут 32 секунды
tartar, вы по дороге перед собой раскидываете грабли, на которые неприменно в будущем наступите, послушайте совет :)
1го варинта достаточноСапожник без сапог -
Сообщения:
186
Репутация:
N
Группа:
Кто попало
17 июля 2010 г. 19:57, спустя 9 минут 35 секунд
А в случае Blind SQL Injection что нужно иметь ввиду при написании кода ?
а именно для скрипта авторизации. -
Сообщения:
26646
Репутация:
N
Группа:
в ухо
17 июля 2010 г. 20:06, спустя 8 минут 53 секунды
Blind SQL Injection
а чем этот термин крутой отличается от обычной sql injection? :)Сапожник без сапог -
Сообщения:
1159
Репутация:
N
Группа:
Кто попало
-
Сообщения:
186
Репутация:
N
Группа:
Кто попало
17 июля 2010 г. 20:51, спустя 34 минуты 44 секунды
хз :) blind - слепой
Наверное SQL Injection в слепую.
Мне главное узнать как остальные защищают свои сайты - советы ) -
Сообщения:
1370
Репутация:
N
Группа:
Джедаи
-
Сообщения:
1370
Репутация:
N
Группа:
Джедаи
-
Сообщения:
186
Репутация:
N
Группа:
Кто попало
-
Сообщения:
790
Репутация:
N
Группа:
Кто попало
18 июля 2010 г. 1:38, спустя 4 часа 6 минут 7 секунд
хз :) blind - слепой
Наверное SQL Injection в слепую.
Мне главное узнать как остальные защищают свои сайты - советы )
я просто все данные добавляемые обрабатываю htmlspesialchars($data, ENT_QUOTES) -
Сообщения:
5210
Репутация:
N
Группа:
Джедаи
18 июля 2010 г. 11:41, спустя 10 часов 3 минуты 50 секунд
soulgarden, он не спрашивал про CSSСпустя 44 сек.а лучшая защита - это нападение
Пожалуйста, авторизуйтесь, чтобы написать комментарий!