X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

Открыть тему
Тема закрыта
> Обязательные элементы обработки данных для безопасности
lesli007
lesli007
Topic Starter сообщение 11.4.2011, 0:50; Ответить: lesli007
Сообщение #1


Здравствуйте!
На любом сайте мы используем формы для открытого круга лиц. Они несут опасность в себе при включении содержимого в базы данных. Расскажите пожалуйста об обязательных элементах обработки данных форм. Как я понимаю их должно быть сразу несколько. А также поясните пожалуйста понятия самых популярных угроз сайту (SQL инъекции и тд). Заранее спасибо, уважаемые вебмастера!
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
sc2r2bey
sc2r2bey
сообщение 11.4.2011, 6:40; Ответить: sc2r2bey
Сообщение #2


ищи по запросу SQL инъекция, обсуждалось не раз
например http://www.masterwebs.ru/topic/7812-zashita-ot-sql-inekcii/


--------------------
Заметки о разработке и не только
программирую web и для we
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
ZiTosS
ZiTosS
сообщение 12.4.2011, 0:01; Ответить: ZiTosS
Сообщение #3


lesli007,
Расскажите пожалуйста об обязательных элементах обработки данных форм.

Основные обработки форм:
  • защита от sql-инъекций - экранирование спец. символов, которые могут встретиться в запросе к базе данных и которые могут повлиять на запрос.
  • защита от XSS-атак - удаление основных опасных тегов из кода или же преобразование спец. символов HTML в их эквиваленты (от данного типа атак защититься достаточно тяжело, тут много подводных камней)
    Ухищрений обхода простой защиты много: добавление null-символа, преобразование кода в кодировку UTF-7 и принудительное обращение пользователя с данной кодировкой, встройка XSS в картинку (косяк с IE) и многое другое

От SQL-инъекций защита проста:
[php]function escape_string($string)
{
$string = get_magic_quotes_gpc() ? stripslashes($string) : $string;
return mysql_real_escape_string($string);
}[/php]
угроз для сайта может быть много:
  • SQL-инъекции
  • загрузка исполняемого файла и его активация
  • XSS-атаки
  • подмена данных сессий и куков жертвы
  • и т.д.


Поблагодарили: (0)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
lesli007
lesli007
Topic Starter сообщение 12.4.2011, 0:47; Ответить: lesli007
Сообщение #4


ZiTosS, то есть обработка
[php]$text=escape_string($text);[/php]
выдаст на выходе обработанный текст? я правильно понял?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
ZiTosS
ZiTosS
сообщение 12.4.2011, 11:14; Ответить: ZiTosS
Сообщение #5


lesli007, это защита от SQL-инъекций (желательно передавать в качестве второго параметра в функцию mysql_real_escape_string - соединение с БД).
Простая защита от XSS:
[php]$string = htmlspecialchars($string);
// или
$string = htmlentities($string);[/php]
Данные функции по 3 параметра:
  • строка, в которой выполняем преобразования
  • что делать с одинарными и двойными кавычками (преобразовывать или нет)
  • кодировка преобразования


Поблагодарили: (0)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
lesli007
lesli007
Topic Starter сообщение 20.4.2011, 22:22; Ответить: lesli007
Сообщение #6


попробовал данный способ
[php]function escape_string($string)
{
$string = get_magic_quotes_gpc() ? stripslashes($string) : $string;
return mysql_real_escape_string($string);
}[/php]

Результат обработка формы проходит нормально. В базу вносится допустим логин с ковычками. Однако потом массив $_SESSION['login'] содержит \'dfgdfg\' а не 'dfgdfg'. Поэтому куча проблем с запросами к базе данных.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
ZiTosS
ZiTosS
сообщение 20.4.2011, 23:28; Ответить: ZiTosS
Сообщение #7


lesli007, есть специальные функции для удаления экранирующих слешей, stripslashes например.
А в логинах кавычки не к чему, я бы по регуляркам такой вариант откинул. Данная обработка важна для больших объемов информации, текстов, которые мы затем хотим выводить на страницу.

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой
или обратитесь к любому из модераторов.


Поблагодарили: (0)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Партнерская программа для Эзотерики, Магии, Таро
партнерка для эзотерики
0 LiveExpert 355 Вчера, 15:13
автор: LiveExpert
Открытая тема (нет новых ответов) Партнерская программа для Эзотерики, Магии, Таро
партнерка для эзотерики
0 LiveExpert 327 Вчера, 15:13
автор: LiveExpert
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыAzinomoney.com - гемблинг-партнерка с 65%RS для каждого
Гарантированный заработок на гемблинг-трафике
65 AzinoMoney 29183 27.3.2024, 19:10
автор: AzinoMoney
Горячая тема (нет новых ответов) Делаю полностью уникальный дизайн для сайтов!
46 AlexDIZ 93485 26.3.2024, 20:03
автор: AlexDIZ
Открытая тема (нет новых ответов) Большие ставки для кликов в Я.Директ. Как удешевить?
2 rownong27 1122 26.3.2024, 14:13
автор: knezevolk


 



RSS Текстовая версия Сейчас: 29.3.2024, 5:59
Дизайн