Zaloguj się

wsp · 26-10-2012, 00:23

Jestem na etapie ukończenia strony, jednak obawiam się, że nie jest ona bezpieczna i łatwo ją shackować. Jeżeli ktoś miałby jakiś tutorial na ten temat, to bardzo proszę o linka. Głównie chodzi mi o zabezpieczanie paska przeglądarki przed wpisywaniem w nią zapytań SQL.

Mam też problem a właściwie dylemat z polami formularza typu input i textarea. Czy jeżeli ktoś w nie wpisze znaczniki html lub co gorsza zapytanie SQL, to czy one zostaną zinterpretowane jako zwykłe łańcuchy znaków?

Jest też taki problem, że po wpisaniu apostrofu do takiego pola i wysłaniu do bazy sql nie interpretuje tego jako część stringa tylko jego koniec, jak się przed tym uchronić?

Może jest jakiś artykuł o problemach z formularzami, bo pewnie jeszcze coś przeoczyłem?

komeniusz · 26-10-2012, 01:19

htmlspecialchars() - XSS
addslashes() - SQLI
mysql_real_escape_string() - SQLI

Engine · 26-10-2012, 14:33

jest jeszcze kilka sposobów np:
- intval()
- wyrażenia regularne preg_match
- od 5.2 mamy do dyspozycji filter_var

camelrafal · (Ten post był ostatnio modyfikowany: 26-10-2012, 18:36 przez camelrafal.)

is_string
is_int

no i podstawa to isset w połączeniu z !empty ale to już chyba bedziesz miał w kodzie

jeszcze zainteresuj się tokenami w formularzach oraz szyfruj ciasteczka jeżeli masz w nich coś ważnego
możesz też pomyśleć o zabezpieczeniu przed floodowaniem ale raczej w mało popularnych stronach te zabiegi nie są konieczne

dodatkowo zawsze korzystaj z POST nigdy z GET w formularzach co jest chyba oczywiste
nie daje to żadnego zabezpieczenia ale zawsze jest jakimś utrudnieniem

komeniusz · Liczba postów: 5 Liczba wątków: 0 Dołączył: 22-10-2012 Reputacja: 0

(26-10-2012, 18:27)camelrafal napisał(a): dodatkowo zawsze korzystaj z POST nigdy z GET w formularzach co jest chyba oczywiste
nie daje to żadnego zabezpieczenia ale zawsze jest jakimś utrudnieniem

Tutaj bym się kłócił. Metody przesyłania danych POST i GET zostały stworzone do dwóch różnych celów. Nie można więc mówić, żeby używać pierwszej z nich, bo "jest utrudnieniem". Otóż nie jest, gdyż przysłowiowy apostrof można przesłać do serwera w takim formularzu wpisując go w odpowiednim polu.

camelrafal · 27-10-2012, 00:55

no to wysyłaj formularze getem i po sprawie

Pedro84 · 27-10-2012, 03:19

Wyszukiwarki też na POST lecicie? Wink

Rozwiązanie trzeba dobrać do problemu, to jest podstawa.

komeniusz · 27-10-2012, 15:34

O to właśnie chodzi Smile

camelrafal · (Ten post był ostatnio modyfikowany: 27-10-2012, 18:52 przez camelrafal.)

ale jeżeli chodzi o bezpieczeństwo to lepiej używać POST nawiązując do tematu
łatwiej jest podesłać komuś linka www.jakasstrona.pl/?skasuj=komentarz niż zrobić to samo w formularzu z postem
oczywiście get jest uzasadniony w przypadkach np wyszukiwania czy innych w których w linku podaje sie parametry tak aby można było przekazać link komuś dalej ale jezeli chodzi np o komentarze czy jakies wiadomosci ze strony to oczywiscie post jest to banał i nie ma sie co czepiać

http://pl.wikipedia.org/wiki/Cross-site_request_forgery ->Twórcy stron->prowizoryczne ZABEZPIECZENIE

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie