Доброго времени суток. Если использовать PDO + prepare, то есть ли смысл вообще фильтровать данные? (исключая XSS и т.п.,речь идет только о возможных скулях) [UPD:смысла нет]
PS сюда же: если в принципе фильтровать абсолютно весь ввод пользовательский на a-z + 0-9, то будет ли это гарантией безопасности?
1. likvidator - 25 Сентября, 2016 - 22:02:43 - перейти к сообщению
2. Fart - 25 Сентября, 2016 - 23:28:46 - перейти к сообщению
при использовании PDO 100% защиты не будет, так как на взлом будет влиять особенности запросов и ухищрений взломщика.
если говорить не о бд, то стоит проверять все входящие данные от пользователя. но, есть вопрос: имеет ли смысл пропускать только a-z 0-9 ?? или я б сказал, всегда ли при запросах будут поступать данные такого типа?? ... навряд ли.
если говорить не о бд, то стоит проверять все входящие данные от пользователя. но, есть вопрос: имеет ли смысл пропускать только a-z 0-9 ?? или я б сказал, всегда ли при запросах будут поступать данные такого типа?? ... навряд ли.
3. likvidator - 25 Сентября, 2016 - 23:34:48 - перейти к сообщению
Fart пишет:
если говорить не о бд, то стоит проверять все входящие данные от пользователя. но, есть вопрос: имеет ли смысл пропускать только a-z 0-9 ?? или я б сказал, всегда ли при запросах будут поступать данные такого типа?? ... навряд ли.
в моем случае - только
Fart пишет:
при использовании PDO 100% защиты не будет, так как на взлом будет влиять особенности запросов и ухищрений взломщика.
а можно пример в подтверждение ваших слов?
4. Fart - 26 Сентября, 2016 - 00:03:52 - перейти к сообщению
тебе описать способы взломов?
(Добавление)
я лучше так напишу. защита для сайта:
1. "правильный" код не создающий дыр для взлома
2. мониторинг "онлайн"
3. отключить от сети и питание у сервера
3 пункт 100% защита - если мучает паранойя или тебя явно хотят хакнуть (п.2)
(Добавление)
я лучше так напишу. защита для сайта:
1. "правильный" код не создающий дыр для взлома
2. мониторинг "онлайн"
3. отключить от сети и питание у сервера
3 пункт 100% защита - если мучает паранойя или тебя явно хотят хакнуть (п.2)
5. likvidator - 26 Сентября, 2016 - 00:58:57 - перейти к сообщению
Fart пишет:
тебе описать способы взломов?
я тебя понял,мимо кассы. Жду адекватного хелпа
6. Мелкий - 26 Сентября, 2016 - 09:26:55 - перейти к сообщению
http://stackoverflow[dot]com/questio[dot][dot][dot]nt-sql-injection
Tl;dr pdo + prepare + корректно выставленная кодировка (либо отказ от эмуляции подготовленных выражений, но это не такая уж плохая штука) - инъекций нет.
По-прежнему вы обязаны проверять логику. Как думаете, использовать (int) $_POST['amount'] безопасно в качестве :amount?
Tl;dr pdo + prepare + корректно выставленная кодировка (либо отказ от эмуляции подготовленных выражений, но это не такая уж плохая штука) - инъекций нет.
По-прежнему вы обязаны проверять логику. Как думаете, использовать (int) $_POST['amount'] безопасно в качестве :amount?
CODE (SQL):
скопировать код в буфер обмена
скопировать код в буфер обмена
- UPDATE users SET balance = balance - :amount WHERE id=:user
(пример, на самом деле там будет двойная запись, которая check'ом валидируется элементарно на уровне записи в субд, особенно если бы mysql умел делать check)
А если передать -100? Получим начисление вместо списания?
likvidator пишет:
если в принципе фильтровать абсолютно весь ввод пользовательский на a-z + 0-9, то будет ли это гарантией безопасности?
В общем случае вы должны сохранить введённые данные в первозданном виде и именно их и отображать впоследствии.
Если допустимо вводить только какие-то определённые значения, например, ждём информацию из select/sheckbox/radio - то проверяете по белым спискам.
Если какой-то ограниченный набор ввода - например, только цифры - и валидировать надо именно этот набор.
Универсального фильтра нет. Необходимо проверять каждый элемент внешних данных, к которым вы обращаетесь, по отдельности, со знанием, какие данные рассчитываем найти в этом месте.