НА одном из форумов встретил вот такое сообшение
Цитата:Не мог придумать, что написать
Решил написать, как избавиться от самых известных багов.
XSS.
PHP код:
<?
...
$_REQUEST['xss'] = htmlspecialchars($_REQUEST['xss']);
echo($_REQUEST['xss']);
...
?>
PHP-include.
PHP код:
<?
...
if($_REQUEST['file'])
{
$_REQUEST['file'] = str_replace('/','',$_REQUEST['file']);
$_REQUEST['file'] = str_replace('%','',$_REQUEST['file']);
$_REQUEST['file'] = str_replace(':','',$_REQUEST['file']);
include($_REQUEST['file']);
}
...
?>
SQL-injection.
PHP код:
<?
...
$_REQUEST['id'] = str_replace("'","",$_REQUEST['id']);
$_REQUEST['id'] = str_replace('-','',$_REQUEST['id']);
$_REQUEST['id'] = str_replace('+','',$_REQUEST['id']);
$_REQUEST['id'] = str_replace('/','',$_REQUEST['id']);
$_REQUEST['id'] = str_replace('*','',$_REQUEST['id']);
$_REQUEST['id'] = str_replace(' ','',$_REQUEST['id']);
mysql_query('UNION SELECT id FROM news WHERE id='.$_REQUEST['id']);
...
?>
Как думаете это помож избавиться от атак?
|