Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Вопрос

PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

На главную страницу форума

Главная

Помощь

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Вопрос

Форумы портала PHP.SU » Разное » Колонка администратора (Модераторы: EuGen, RomAndry)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

Demius	Отправлено: 29 Июля, 2007 - 10:38:08
Новичок Покинул форум Сообщений всего: 3 Дата рег-ции: Дек. 2006 Помог: 0 раз(а)	НА одном из форумов встретил вот такое сообшение Цитата: Не мог придумать, что написать Решил написать, как избавиться от самых известных багов. XSS. PHP код: <? ... $_REQUEST['xss'] = htmlspecialchars($_REQUEST['xss']); echo($_REQUEST['xss']); ... ?> PHP-include. PHP код: <? ... if($_REQUEST['file']) { $_REQUEST['file'] = str_replace('/','',$_REQUEST['file']); $_REQUEST['file'] = str_replace('%','',$_REQUEST['file']); $_REQUEST['file'] = str_replace(':','',$_REQUEST['file']); include($_REQUEST['file']); } ... ?> SQL-injection. PHP код: <? ... $_REQUEST['id'] = str_replace("'","",$_REQUEST['id']); $_REQUEST['id'] = str_replace('-','',$_REQUEST['id']); $_REQUEST['id'] = str_replace('+','',$_REQUEST['id']); $_REQUEST['id'] = str_replace('/','',$_REQUEST['id']); $_REQUEST['id'] = str_replace('*','',$_REQUEST['id']); $_REQUEST['id'] = str_replace(' ','',$_REQUEST['id']); mysql_query('UNION SELECT id FROM news WHERE id='.$_REQUEST['id']); ... ?> Как думаете это помож избавиться от атак?

valenok	Отправлено: 30 Июля, 2007 - 11:47:53
Здесь могла бы быть ваша реклама Покинул форум Сообщений всего: 4574 Дата рег-ции: Июль 2006 Откуда: Israel Помог: 3 раз(а)	Вот штраф вам поможет избавиться от невнимательности и писать в соответствующих разделах форума. -- PHP: скопировать код в буфер обмена <? ... $_REQUEST['xss'] = htmlspecialchars($_REQUEST['xss']); echo($_REQUEST['xss']); ... ?> Это поможет если правильно использовать, а не тупо вставить в начало скрипта эти две строки. PHP: скопировать код в буфер обмена <? ... if($_REQUEST['file']) { $_REQUEST['file'] = str_replace('/','',$_REQUEST['file']); $_REQUEST['file'] = str_replace('%','',$_REQUEST['file']); $_REQUEST['file'] = str_replace(':','',$_REQUEST['file']); include($_REQUEST['file']); } ... ?> никогда в жизни не писал такой конструкции и не позволял пользователям указывать что инклудить. PHP: скопировать код в буфер обмена <? ... $_REQUEST['id'] = str_replace("'","",$_REQUEST['id']); $_REQUEST['id'] = str_replace('-','',$_REQUEST['id']); $_REQUEST['id'] = str_replace('+','',$_REQUEST['id']); $_REQUEST['id'] = str_replace('/','',$_REQUEST['id']); $_REQUEST['id'] = str_replace('*','',$_REQUEST['id']); $_REQUEST['id'] = str_replace(' ','',$_REQUEST['id']); mysql_query('UNION SELECT id FROM news WHERE id='.$_REQUEST['id']); ... ?> Боже мой... не заходите больше на тот форум, или хотябы не читайте того автора больше. А теперь если вас вообще интересует безопасность в php то почитайте следующее.. А если не интересует не тратьте своё время.. http://phpclub[dot]ru/detail/ (4 строчка в списке) http://www.php.net/manual/ru/security.php ----- Truly yours, Sasha.

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Колонка администратора »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.

Powered By MySQL

Powered by Nginx

Powered by ExBB FM 1.0 RC1. InvisionExBB