Перейти к содержимому



Безопасность от SQL-injection

#1 r0mZet
r0mZet
  • Модератор
  • 1 472 сообщений
  • Репутация: 282
0

Обновлено 28 июля 2014 - 12:16  Отправлено 17 июня 2014 - 13:02

Может ли кто порекомендовать какой-нибудь очень неплохой софт для сканирования сайта на SQL уязвимости?


 

 

  • 0

Ссылки покупаю только здесь :)



#2 kamchatniyoleg
kamchatniyoleg
  • Пользователь PRO
  • 1 179 сообщений
  • Репутация: 84

Отправлено 17 июня 2014 - 15:10

function kill_hak()
{
    $not_sql_in=array("SELECT","INSERT","CREATE","FROM ","DELETE","UNION","WHERE","UPDATE","INFILE","OPTION");
    foreach ($_GET as $name => $value) $_GET[$name] = str_ireplace($not_sql_in," ",$value);
    foreach ($_POST as $name => $value) $_POST[$name] = str_ireplace($not_sql_in," ",$value);
    foreach ($_COOKIE as $name => $value) $_COOKIE[$name] = str_ireplace($not_sql_in," ",$value);
    foreach ($_COOKIE as $name => $value) $_COOKIE[$name] = str_ireplace(array("%","$","?","@","~","`","!",",",":","|","/","+","=","-","*","(",")","_","?")," ",$value);
}

вот вам подарок =) Только запрещенные слова в массив добавьте . А еще функцию вызовите в шапке сайта и все .


  • 0
Сервис электронного информирования клиентов PostTrail.ru
Отслеживание посылок Почты России в автоматическом режиме! Лояльность клиента - прибыль магазина!


#3 r0mZet
r0mZet
    Topic Starter
  • Модератор
  • 1 472 сообщений
  • Репутация: 282

Отправлено 17 июня 2014 - 15:21

У меня есть подобный кусок кода из справочника, я просто не могу понять куда его конкретно нужно запихать. 


Сообщение отредактировал r0mZet: 17 июня 2014 - 15:21

  • 0

Ссылки покупаю только здесь :)



#4 Ixman
Ixman
  • Пользователь PRO
  • 3 177 сообщений
  • Репутация: 850

Отправлено 17 июня 2014 - 17:00

Прописать в шапку скрипта, если она есть и вызвать функцию 

$sql = kill_hak();

Это примерно


Ну ещё по всей видимости можно распечатать результат

var_dump($sql);

Сообщение отредактировал Ixman: 17 июня 2014 - 17:01

  • 0


#5 kamchatniyoleg
kamchatniyoleg
  • Пользователь PRO
  • 1 179 сообщений
  • Репутация: 84

Отправлено 17 июня 2014 - 17:00

Прописать функцию в шапку сайта вот так : 

<?php
function kill_hak()
{
    $not_sql_in=array("SELECT","INSERT","CREATE","FROM ","DELETE","UNION","WHERE","UPDATE","INFILE","OPTION");
    foreach ($_GET as $name => $value) $_GET[$name] = str_ireplace($not_sql_in," ",$value);
    foreach ($_POST as $name => $value) $_POST[$name] = str_ireplace($not_sql_in," ",$value);
    foreach ($_COOKIE as $name => $value) $_COOKIE[$name] = str_ireplace($not_sql_in," ",$value);
    foreach ($_COOKIE as $name => $value) $_COOKIE[$name] = str_ireplace(array("%","$","?","@","~","`","!",",",":","|","/","+","=","-","*","(",")","_","?")," ",$value);
}
kill_hak();
?>

  • 0
Сервис электронного информирования клиентов PostTrail.ru
Отслеживание посылок Почты России в автоматическом режиме! Лояльность клиента - прибыль магазина!


#6 r0mZet
r0mZet
    Topic Starter
  • Модератор
  • 1 472 сообщений
  • Репутация: 282

Отправлено 17 июня 2014 - 21:35

окей, спасибо за ответы


  • 0

Ссылки покупаю только здесь :)



#7 kamchatniyoleg
kamchatniyoleg
  • Пользователь PRO
  • 1 179 сообщений
  • Репутация: 84

Отправлено 18 июня 2014 - 07:53

r0mZet, Кстати или как вариант нанять контору которая занимается поиском уязвимостей и  они вам все проверят и протестируют . Возможно даже исправят .


  • 0
Сервис электронного информирования клиентов PostTrail.ru
Отслеживание посылок Почты России в автоматическом режиме! Лояльность клиента - прибыль магазина!


#8 r0mZet
r0mZet
    Topic Starter
  • Модератор
  • 1 472 сообщений
  • Репутация: 282

Отправлено 18 июня 2014 - 09:35

не, не, я интересуюсь для своего кругозора. К счастью проблем пока небыло.


  • 0

Ссылки покупаю только здесь :)



#9 BLIK
BLIK
  • Супермодератор
  • 4 749 сообщений
  • Репутация: 1081

Отправлено 19 июня 2014 - 14:35

Вот еще одно дополнение к браузеру Mozilla Firefox для тестирования https://addons.mozil.../sql-inject-me/  Но по осторожнее с ним, а то были случаи что он ложил сайт.

 

И вот не много написано подробнее про дополнение http://habrahabr.ru/post/87872/

 

Для не больших познаний подойдет :)


  • 0

Качественный хостинг   Тут может быть ваша ссылка.



#10 KataTelecom
KataTelecom
  • Неактивные
  • 31 сообщений
  • Репутация: 2

Отправлено 28 июля 2014 - 12:16

Ребята вы параноики )) юзайте mysql_real_escape_string и больше ничего не нужно

вот пример моего кода 

$result = mysql_query ("SELECT * FROM `cloack_ips` WHERE `ip` = '".mysql_real_escape_string ($_SERVER['REMOTE_ADDR'])."'", $conn);

а при выводе данных используйте htmlentities


Сообщение отредактировал KataTelecom: 28 июля 2014 - 12:16

  • 0

robot
robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85


Похожие темы
  Название темы Автор Статистика Последнее сообщение

Пользователь месяца
Megoydagi Megoydagi 1-й за Август
Очков активности: 30 4 темы, 8 сообщений, 1 балл репутации
Сайт: bank.net.ru
ТОП самых активных за этот месяц
  • Фотография Vmir
    #1

    Vmir
    Очков активности: 22.5 3 темы, 6 сообщений, 1 балл репутации

  • Фотография BLIK
    #2

    BLIK
    Очков активности: 18 Вне конкурса за определение пользователя месяца

  • Фотография kuztoday
    #3

    kuztoday
    Очков активности: 10.5 1 тема, 4 сообщения, 1 балл репутации

  • Фотография SergiuS85
    #4

    SergiuS85
    Очков активности: 10.5 2 темы, 1 сообщение, 1 балл репутации

  • Фотография kolver
    #5

    kolver
    Очков активности: 9 1 тема, 3 сообщения, 1 балл репутации

  • Фотография mkreine
    #6

    mkreine (analiz-krovi.net)
    Очков активности: 9 1 тема, 3 сообщения, 1 балл репутации

  • Фотография Megoydagi
    #7

    Megoydagi (bank.net.ru)
    Очков активности: 9 Вне конкурса за определение пользователя месяца

  • Фотография wp01
    #8

    wp01
    Очков активности: 7.5 0 тем, 5 сообщений, 1 балл репутации

  • Фотография Totti
    #9

    Totti
    Очков активности: 7.5 0 тем, 5 сообщений, 1 балл репутации

  • Фотография fedornabilkin
    #10

    fedornabilkin (plohoneponyal.ru)
    Очков активности: 7.5 1 тема, 2 сообщения, 1 балл репутации

  • Показать весь ТОП 10

Поддержите форум! =)
Топ 5 участников по репутации

Оформление форума – IPBSkins.ru