Перейти к содержимому

Реферальная программа Мегаплана


Безопасность от SQL-injection

#1 r0mZet

r0mZet
  • Модератор
  • 961 сообщений
  • Репутация: 107
0

Отправлено 17 Июнь 2014 - 13:02

Может ли кто порекомендовать какой-нибудь очень неплохой софт для сканирования сайта на SQL уязвимости?


 

 

  • 0

#2 kamchatniyoleg

kamchatniyoleg
  • Пользователь PRO
  • 1 178 сообщений
  • Репутация: 84

Отправлено 17 Июнь 2014 - 15:10

function kill_hak()
{
    $not_sql_in=array("SELECT","INSERT","CREATE","FROM ","DELETE","UNION","WHERE","UPDATE","INFILE","OPTION");

    foreach ($_GET as $name => $value) $_GET[$name] = str_ireplace($not_sql_in," ",$value);
    foreach ($_POST as $name => $value) $_POST[$name] = str_ireplace($not_sql_in," ",$value);
    foreach ($_COOKIE as $name => $value) $_COOKIE[$name] = str_ireplace($not_sql_in," ",$value);
    foreach ($_COOKIE as $name => $value) $_COOKIE[$name] = str_ireplace(array("%","$","?","@","~","`","!",",",":","|","/","+","=","-","*","(",")","_","?")," ",$value);

}

вот вам подарок =) Только запрещенные слова в массив добавьте . А еще функцию вызовите в шапке сайта и все .


  • 0
Сервис электронного информирования клиентов PostTrail.ru
Отслеживание посылок Почты России в автоматическом режиме! Лояльность клиента - прибыль магазина!


#3 r0mZet

r0mZet
    Topic Starter
  • Модератор
  • 961 сообщений
  • Репутация: 107

Отправлено 17 Июнь 2014 - 15:21

У меня есть подобный кусок кода из справочника, я просто не могу понять куда его конкретно нужно запихать. 


Сообщение отредактировал r0mZet: 17 Июнь 2014 - 15:21

  • 0

#4 Ixman

Ixman
  • Пользователь PRO
  • 2 159 сообщений
  • Репутация: 432

Отправлено 17 Июнь 2014 - 17:00

Прописать в шапку скрипта, если она есть и вызвать функцию 

$sql = kill_hak();

Это примерно


Ну ещё по всей видимости можно распечатать результат

var_dump($sql);

Сообщение отредактировал Ixman: 17 Июнь 2014 - 17:01

  • 0

#5 kamchatniyoleg

kamchatniyoleg
  • Пользователь PRO
  • 1 178 сообщений
  • Репутация: 84

Отправлено 17 Июнь 2014 - 17:00

Прописать функцию в шапку сайта вот так : 

<?php
function kill_hak()
{
    $not_sql_in=array("SELECT","INSERT","CREATE","FROM ","DELETE","UNION","WHERE","UPDATE","INFILE","OPTION");
 
    foreach ($_GET as $name => $value) $_GET[$name] = str_ireplace($not_sql_in," ",$value);
    foreach ($_POST as $name => $value) $_POST[$name] = str_ireplace($not_sql_in," ",$value);
    foreach ($_COOKIE as $name => $value) $_COOKIE[$name] = str_ireplace($not_sql_in," ",$value);
    foreach ($_COOKIE as $name => $value) $_COOKIE[$name] = str_ireplace(array("%","$","?","@","~","`","!",",",":","|","/","+","=","-","*","(",")","_","?")," ",$value);
 
}

kill_hak();
?>

  • 0
Сервис электронного информирования клиентов PostTrail.ru
Отслеживание посылок Почты России в автоматическом режиме! Лояльность клиента - прибыль магазина!


#6 r0mZet

r0mZet
    Topic Starter
  • Модератор
  • 961 сообщений
  • Репутация: 107

Отправлено 17 Июнь 2014 - 21:35

окей, спасибо за ответы


  • 0

#7 kamchatniyoleg

kamchatniyoleg
  • Пользователь PRO
  • 1 178 сообщений
  • Репутация: 84

Отправлено 18 Июнь 2014 - 07:53

r0mZet, Кстати или как вариант нанять контору которая занимается поиском уязвимостей и  они вам все проверят и протестируют . Возможно даже исправят .


  • 0
Сервис электронного информирования клиентов PostTrail.ru
Отслеживание посылок Почты России в автоматическом режиме! Лояльность клиента - прибыль магазина!


#8 r0mZet

r0mZet
    Topic Starter
  • Модератор
  • 961 сообщений
  • Репутация: 107

Отправлено 18 Июнь 2014 - 09:35

не, не, я интересуюсь для своего кругозора. К счастью проблем пока небыло.


  • 0

#9 BLIK

BLIK
  • Супермодератор
  • 3 173 сообщений
  • Репутация: 632

Отправлено 19 Июнь 2014 - 14:35

Вот еще одно дополнение к браузеру Mozilla Firefox для тестирования https://addons.mozil.../sql-inject-me/  Но по осторожнее с ним, а то были случаи что он ложил сайт.

 

И вот не много написано подробнее про дополнение http://habrahabr.ru/post/87872/

 

Для не больших познаний подойдет :)


  • 0


#10 KataTelecom

KataTelecom
  • Пользователь
  • 31 сообщений
  • Репутация: 2

Отправлено 28 Июль 2014 - 12:16

Ребята вы параноики )) юзайте mysql_real_escape_string и больше ничего не нужно

вот пример моего кода 

$result = mysql_query ("SELECT * FROM `cloack_ips` WHERE `ip` = '".mysql_real_escape_string ($_SERVER['REMOTE_ADDR'])."'", $conn);

а при выводе данных используйте htmlentities


Сообщение отредактировал KataTelecom: 28 Июль 2014 - 12:16

  • 0

robot

robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85


Оформление форума – IPBSkins.ru