+- Forum Webmastera, HTML, CSS, PHP, MySQL, Hosting, Domeny - Forum dla Webmasterów (https://www.webmastertalk.pl)
+-- Dział: Technologie internetowe - tworzenie stron WWW (https://www.webmastertalk.pl/forum-technologie-internetowe-tworzenie-stron-www)
+--- Dział: Początkujący webmaster (https://www.webmastertalk.pl/forum-poczatkujacy-webmaster)
+--- Wątek: bezpieczeństwo (/thread-bezpieczenstwo)
bezpieczeństwo - wsp - 26-10-2012
Jestem na etapie ukończenia strony, jednak obawiam się, że nie jest ona bezpieczna i łatwo ją shackować. Jeżeli ktoś miałby jakiś tutorial na ten temat, to bardzo proszę o linka. Głównie chodzi mi o zabezpieczanie paska przeglądarki przed wpisywaniem w nią zapytań SQL.
Mam też problem a właściwie dylemat z polami formularza typu input i textarea. Czy jeżeli ktoś w nie wpisze znaczniki html lub co gorsza zapytanie SQL, to czy one zostaną zinterpretowane jako zwykłe łańcuchy znaków?
Jest też taki problem, że po wpisaniu apostrofu do takiego pola i wysłaniu do bazy sql nie interpretuje tego jako część stringa tylko jego koniec, jak się przed tym uchronić?
Może jest jakiś artykuł o problemach z formularzami, bo pewnie jeszcze coś przeoczyłem?
RE: bezpieczeństwo - komeniusz - 26-10-2012
htmlspecialchars() - XSS
addslashes() - SQLI
mysql_real_escape_string() - SQLI
RE: bezpieczeństwo - Engine - 26-10-2012
jest jeszcze kilka sposobów np:
- intval()
- wyrażenia regularne preg_match
- od 5.2 mamy do dyspozycji filter_var
RE: bezpieczeństwo - camelrafal - 26-10-2012
is_string
is_int
no i podstawa to isset w połączeniu z !empty ale to już chyba bedziesz miał w kodzie
jeszcze zainteresuj się tokenami w formularzach oraz szyfruj ciasteczka jeżeli masz w nich coś ważnego
możesz też pomyśleć o zabezpieczeniu przed floodowaniem ale raczej w mało popularnych stronach te zabiegi nie są konieczne
dodatkowo zawsze korzystaj z POST nigdy z GET w formularzach co jest chyba oczywiste
nie daje to żadnego zabezpieczenia ale zawsze jest jakimś utrudnieniem
RE: bezpieczeństwo - komeniusz - 26-10-2012
(26-10-2012, 18:27)camelrafal napisał(a): dodatkowo zawsze korzystaj z POST nigdy z GET w formularzach co jest chyba oczywiste
nie daje to żadnego zabezpieczenia ale zawsze jest jakimś utrudnieniem
Tutaj bym się kłócił. Metody przesyłania danych POST i GET zostały stworzone do dwóch różnych celów. Nie można więc mówić, żeby używać pierwszej z nich, bo "jest utrudnieniem". Otóż nie jest, gdyż przysłowiowy apostrof można przesłać do serwera w takim formularzu wpisując go w odpowiednim polu.
RE: bezpieczeństwo - camelrafal - 27-10-2012
no to wysyłaj formularze getem i po sprawie
RE: bezpieczeństwo - Pedro84 - 27-10-2012
Wyszukiwarki też na POST lecicie?
Rozwiązanie trzeba dobrać do problemu, to jest podstawa.
RE: bezpieczeństwo - komeniusz - 27-10-2012
O to właśnie chodzi
RE: bezpieczeństwo - camelrafal - 27-10-2012
ale jeżeli chodzi o bezpieczeństwo to lepiej używać POST nawiązując do tematu
łatwiej jest podesłać komuś linka www.jakasstrona.pl/?skasuj=komentarz niż zrobić to samo w formularzu z postem
oczywiście get jest uzasadniony w przypadkach np wyszukiwania czy innych w których w linku podaje sie parametry tak aby można było przekazać link komuś dalej ale jezeli chodzi np o komentarze czy jakies wiadomosci ze strony to oczywiscie post jest to banał i nie ma sie co czepiać
http://pl.wikipedia.org/wiki/Cross-site_request_forgery ->Twórcy stron->prowizoryczne ZABEZPIECZENIE