[X] Помощник

[r0mZet Topic Starter]

Может ли кто порекомендовать какой-нибудь очень неплохой софт для сканирования сайта на SQL уязвимости?

[kamchatniyoleg]

function kill_hak()
{
    $not_sql_in=array("SELECT","INSERT","CREATE","FROM ","DELETE","UNION","WHERE","UPDATE","INFILE","OPTION");

    foreach ($_GET as $name => $value) $_GET[$name] = str_ireplace($not_sql_in," ",$value);
    foreach ($_POST as $name => $value) $_POST[$name] = str_ireplace($not_sql_in," ",$value);
    foreach ($_COOKIE as $name => $value) $_COOKIE[$name] = str_ireplace($not_sql_in," ",$value);
    foreach ($_COOKIE as $name => $value) $_COOKIE[$name] = str_ireplace(array("%","$","?","@","~","`","!",",",":","|","/","+","=","-","*","(",")","_","?")," ",$value);

}

вот вам подарок =) Только запрещенные слова в массив добавьте . А еще функцию вызовите в шапке сайта и все .

[r0mZet Topic Starter]

У меня есть подобный кусок кода из справочника, я просто не могу понять куда его конкретно нужно запихать. 


Сообщение отредактировал r0mZet - 17.6.2014, 16:21

[ixman]

Прописать в шапку скрипта, если она есть и вызвать функцию 

$sql = kill_hak();

Это примерно
Ну ещё по всей видимости можно распечатать результат

var_dump($sql);

Сообщение отредактировал Ixman - 17.6.2014, 18:01

[kamchatniyoleg]

Прописать функцию в шапку сайта вот так : 

<?php
function kill_hak()
{
    $not_sql_in=array("SELECT","INSERT","CREATE","FROM ","DELETE","UNION","WHERE","UPDATE","INFILE","OPTION");
 
    foreach ($_GET as $name => $value) $_GET[$name] = str_ireplace($not_sql_in," ",$value);
    foreach ($_POST as $name => $value) $_POST[$name] = str_ireplace($not_sql_in," ",$value);
    foreach ($_COOKIE as $name => $value) $_COOKIE[$name] = str_ireplace($not_sql_in," ",$value);
    foreach ($_COOKIE as $name => $value) $_COOKIE[$name] = str_ireplace(array("%","$","?","@","~","`","!",",",":","|","/","+","=","-","*","(",")","_","?")," ",$value);
 
}

kill_hak();
?>

[r0mZet Topic Starter]

окей, спасибо за ответы

[kamchatniyoleg]

[member=r0mZet], Кстати или как вариант нанять контору которая занимается поиском уязвимостей и  они вам все проверят и протестируют . Возможно даже исправят .

[r0mZet Topic Starter]

не, не, я интересуюсь для своего кругозора. К счастью проблем пока небыло.

[BLIK]

Вот еще одно дополнение к браузеру Mozilla Firefox для тестирования https://addons.mozilla.org/ru/firefox/addon/sql-inject-me/  Но по осторожнее с ним, а то были случаи что он ложил сайт.

И вот не много написано подробнее про дополнение http://habrahabr.ru/post/87872/

Для не больших познаний подойдет :)

[KataTelecom]

Ребята вы параноики )) юзайте mysql_real_escape_string и больше ничего не нужно
вот пример моего кода 

$result = mysql_query ("SELECT * FROM `cloack_ips` WHERE `ip` = '".mysql_real_escape_string ($_SERVER['REMOTE_ADDR'])."'", $conn);

а при выводе данных используйте htmlentities

Замечание модератора: Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней. Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой или обратитесь к любому из модераторов.

Сообщение отредактировал KataTelecom - 28.7.2014, 13:16