PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

просмотр переменных на SQL-инъекции

Форумы портала PHP.SU » PHP » Программирование на PHP » Вопросы новичков (Модераторы: OrmaJever, Саныч, Строитель)

Страниц (2): [1] 2 »

Без описания

Поиск в теме | Версия для печати

ПТО	Отправлено: 26 Марта, 2012 - 11:05:18
Посетитель Покинул форум Сообщений всего: 395 Дата рег-ции: Янв. 2012 Помог: 3 раз(а)	Здраствуйте! Надо проверить значения массива $_POST на наличие слов "insert,update, delete,drop, cascade". Полный список слов, допустим, храниться в файле "deny.txt"

DelphinPRO	Отправлено: 26 Марта, 2012 - 11:20:13
Активный участник Покинул форум Сообщений всего: 7187 Дата рег-ции: Февр. 2012 Помог: 353 раз(а)	что-то мне подсказывает, что защиту от скул-инъекций не так делают.. ----- Чем больше узнаю, тем больше я не знаю.

ПТО	Отправлено: 26 Марта, 2012 - 11:24:02
Посетитель Покинул форум Сообщений всего: 395 Дата рег-ции: Янв. 2012 Помог: 3 раз(а)	вопрос1 как в строке "1);DELETE * FROM sometable;" найти слово "delete" ?? Есть функция какая-нибудь? вопрос2 ( но это потом) DelphinPRO пишет: что-то мне подсказывает, что защиту от скул-инъекций не так делают.. как (Отредактировано автором: 26 Марта, 2012 - 11:24:23)

etoYA	Отправлено: 26 Марта, 2012 - 11:29:43
Участник Покинул форум Сообщений всего: 1859 Дата рег-ции: Июль 2011 Откуда: Крым Помог: 21 раз(а)	ПТО, PHP: скопировать код в буфер обмена $_POST['var'] = mysql_real_escape_string($_POST['var']);

ПТО	Отправлено: 26 Марта, 2012 - 11:31:43
Посетитель Покинул форум Сообщений всего: 395 Дата рег-ции: Янв. 2012 Помог: 3 раз(а)	etoYA пишет: ПТО, PHP: скопировать код в буфер обмена $_POST['var'] = mysql_real_escape_string($_POST['var']); У меня постгрес Так все таки как в строке "1);DELETE * FROM sometable;" найти слово "delete" ?? Есть функция какая-нибудь?

snikers987	Отправлено: 26 Марта, 2012 - 11:32:14
Участник Покинул форум Сообщений всего: 1239 Дата рег-ции: Сент. 2011 Откуда: Крым Помог: 25 раз(а)	PHP: скопировать код в буфер обмена pg_escape_string() ; mysqli_real_escape_string(); mysql_real_escape_string(); addslashes(); addcslashes(); htmlspecialchars(); (Отредактировано автором: 26 Марта, 2012 - 11:36:35) ----- Когда всматриваешься в тёмную бездну, учти, что кто-то может смотреть на тебя из неё...

DelphinPRO	Отправлено: 26 Марта, 2012 - 11:33:07
Активный участник Покинул форум Сообщений всего: 7187 Дата рег-ции: Февр. 2012 Помог: 353 раз(а)	разумеется, есть - функции работы со строками PHP: скопировать код в буфер обмена if (strpos(strtolower($_POST['field']), 'delete') !== false ) { echo 'Ахтунг!!'; } только не делайте так - получится говнокод === точно, забыл про эту функцию PHP: скопировать код в буфер обмена if (stripos($_POST['field'], 'delete') !== false ) { echo 'Ахтунг!!'; } (Отредактировано автором: 26 Марта, 2012 - 11:39:50) ----- Чем больше узнаю, тем больше я не знаю.

etoYA	Отправлено: 26 Марта, 2012 - 11:36:23
Участник Покинул форум Сообщений всего: 1859 Дата рег-ции: Июль 2011 Откуда: Крым Помог: 21 раз(а)	ПТО PHP: скопировать код в буфер обмена if (preg_match('/delete/i', $var)) return false; (Отредактировано автором: 26 Марта, 2012 - 11:38:17)

DelphinPRO	Отправлено: 26 Марта, 2012 - 11:36:43
Активный участник Покинул форум Сообщений всего: 7187 Дата рег-ции: Февр. 2012 Помог: 353 раз(а)	как защитится: PDO + prepared statements ----- Чем больше узнаю, тем больше я не знаю.

snikers987	Отправлено: 26 Марта, 2012 - 11:37:41
Участник Покинул форум Сообщений всего: 1239 Дата рег-ции: Сент. 2011 Откуда: Крым Помог: 25 раз(а)	etoYA регулярка тут вовсе не нужна, stripos() отработает быстрее. ----- Когда всматриваешься в тёмную бездну, учти, что кто-то может смотреть на тебя из неё...

etoYA	Отправлено: 26 Марта, 2012 - 11:38:52
Участник Покинул форум Сообщений всего: 1859 Дата рег-ции: Июль 2011 Откуда: Крым Помог: 21 раз(а)	snikers987, что 1е в голову пришло, то и написал).

DelphinPRO	Отправлено: 26 Марта, 2012 - 11:40:56
Активный участник Покинул форум Сообщений всего: 7187 Дата рег-ции: Февр. 2012 Помог: 353 раз(а)	snikers987, зато в регулярку можно все слова засунуть и одним выражением проверить. а с stripos придется делать цикл (Отредактировано автором: 26 Марта, 2012 - 11:41:13) ----- Чем больше узнаю, тем больше я не знаю.

etoYA	Отправлено: 26 Марта, 2012 - 11:42:54
Участник Покинул форум Сообщений всего: 1859 Дата рег-ции: Июль 2011 Откуда: Крым Помог: 21 раз(а)	DelphinPRO, угу), но зачем цикл PHP: скопировать код в буфер обмена stripos($_POST['field'], 'delete') OR stripos($_POST['field'], 'insert')

ПТО	Отправлено: 26 Марта, 2012 - 11:43:48
Посетитель Покинул форум Сообщений всего: 395 Дата рег-ции: Янв. 2012 Помог: 3 раз(а)	Цитата: pg_escape_string() мнемонизирует строку для типа данных text/char.Возвращает мнемонизированную строку для PostgreSQL И что это? И почему нахождение слов - это говнокод?

DelphinPRO	Отправлено: 26 Марта, 2012 - 11:45:58
Активный участник Покинул форум Сообщений всего: 7187 Дата рег-ции: Февр. 2012 Помог: 353 раз(а)	etoYA, затем, что количество слов берется из файла Защищаться от скул инъекций таким образом - говнокод. Но это исключительно мое скромное мнение. ----- Чем больше узнаю, тем больше я не знаю.

Поиск в теме | Версия для печати

Страниц (2): [1] 2 »

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Вопросы новичков »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.