Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Фильтрация подготовленных запросов

PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Фильтрация подготовленных запросов

Форумы портала PHP.SU » PHP » Программирование на PHP » Вопросы новичков (Модераторы: OrmaJever, Саныч, Строитель)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

likvidator	Отправлено: 25 Сентября, 2016 - 22:02:43
Посетитель Покинул форум Сообщений всего: 416 Дата рег-ции: Март 2012 Помог: 4 раз(а) [+]	Доброго времени суток. Если использовать PDO + prepare, то есть ли смысл вообще фильтровать данные? (исключая XSS и т.п.,речь идет только о возможных скулях) [UPD:смысла нет] PS сюда же: если в принципе фильтровать абсолютно весь ввод пользовательский на a-z + 0-9, то будет ли это гарантией безопасности? (Отредактировано автором: 25 Сентября, 2016 - 23:00:45)

Fart	Отправлено: 25 Сентября, 2016 - 23:28:46
Посетитель Покинул форум Сообщений всего: 324 Дата рег-ции: Июль 2016 Помог: 10 раз(а)	при использовании PDO 100% защиты не будет, так как на взлом будет влиять особенности запросов и ухищрений взломщика. если говорить не о бд, то стоит проверять все входящие данные от пользователя. но, есть вопрос: имеет ли смысл пропускать только a-z 0-9 ?? или я б сказал, всегда ли при запросах будут поступать данные такого типа?? ... навряд ли.

likvidator	Отправлено: 25 Сентября, 2016 - 23:34:48
Посетитель Покинул форум Сообщений всего: 416 Дата рег-ции: Март 2012 Помог: 4 раз(а) [+]	Fart пишет: если говорить не о бд, то стоит проверять все входящие данные от пользователя. но, есть вопрос: имеет ли смысл пропускать только a-z 0-9 ?? или я б сказал, всегда ли при запросах будут поступать данные такого типа?? ... навряд ли. в моем случае - только Fart пишет: при использовании PDO 100% защиты не будет, так как на взлом будет влиять особенности запросов и ухищрений взломщика. а можно пример в подтверждение ваших слов? (Отредактировано автором: 25 Сентября, 2016 - 23:35:27)

Fart	Отправлено: 26 Сентября, 2016 - 00:03:52
Посетитель Покинул форум Сообщений всего: 324 Дата рег-ции: Июль 2016 Помог: 10 раз(а)	тебе описать способы взломов? (Добавление) я лучше так напишу. защита для сайта: 1. "правильный" код не создающий дыр для взлома 2. мониторинг "онлайн" 3. отключить от сети и питание у сервера 3 пункт 100% защита - если мучает паранойя или тебя явно хотят хакнуть (п.2)

likvidator	Отправлено: 26 Сентября, 2016 - 00:58:57
Посетитель Покинул форум Сообщений всего: 416 Дата рег-ции: Март 2012 Помог: 4 раз(а) [+]	Fart пишет: тебе описать способы взломов? я тебя понял,мимо кассы. Жду адекватного хелпа

Мелкий	Отправлено: 26 Сентября, 2016 - 09:26:55
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	http://stackoverflow[dot]com/questio[dot][dot][dot]nt-sql-injection Tl;dr pdo + prepare + корректно выставленная кодировка (либо отказ от эмуляции подготовленных выражений, но это не такая уж плохая штука) - инъекций нет. По-прежнему вы обязаны проверять логику. Как думаете, использовать (int) $_POST['amount'] безопасно в качестве :amount? CODE (SQL): скопировать код в буфер обмена UPDATE users SET balance = balance - :amount WHERE id=:user (пример, на самом деле там будет двойная запись, которая check'ом валидируется элементарно на уровне записи в субд, особенно если бы mysql умел делать check) А если передать -100? Получим начисление вместо списания? likvidator пишет: если в принципе фильтровать абсолютно весь ввод пользовательский на a-z + 0-9, то будет ли это гарантией безопасности? В общем случае вы должны сохранить введённые данные в первозданном виде и именно их и отображать впоследствии. Если допустимо вводить только какие-то определённые значения, например, ждём информацию из select/sheckbox/radio - то проверяете по белым спискам. Если какой-то ограниченный набор ввода - например, только цифры - и валидировать надо именно этот набор. Универсального фильтра нет. Необходимо проверять каждый элемент внешних данных, к которым вы обращаетесь, по отдельности, со знанием, какие данные рассчитываем найти в этом месте. ----- PostgreSQL DBA

likvidator	Отправлено: 26 Сентября, 2016 - 10:08:47
Посетитель Покинул форум Сообщений всего: 416 Дата рег-ции: Март 2012 Помог: 4 раз(а) [+]	Мелкий, благодарю.

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Вопросы новичков »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.