Мое ИМХО по include багам:
в include, require и т.д. использовать только константные строки! и include баг исчезает как класс.
Некоторые могут возразить: "а как - же ты тогда подрубаешь скрипты?". Отвечаю: вся структура с URL ами и соответствующими им модулями хранится в базе данных или других носителях. И уже давно пора на ЧПУ переходить. mod_rewrite даже на бесплатных хостах начинают ставить.
Конечно - же исключением может являться функция __autoload, где как раз и должны использоваться переменные в include, но ИМХО однажды хорошо продуманный и реализованный __autoload должен решить пробему с этим

 


Мое ИМХО по SQL и mysql_real_escape_string()
Чтобы избавиться от подобных безобразий почитайте про placeholders у Д.Котерова.
http://www.dklab.ru/lib/Database_Placeholder/
  

Это сообщение отредактировал(а) S.A.P. - 19.4.2006, 21:04

Я у себя использую данный способ проверки:



И все ваши include-баги отдыхают - можно вписывать только строчные буквы латинского алфавита с цифры + если ихсодники никому не показывать своего сайта - то у взломщика меньше 1% шанса, что он ломанет сайт через эту дырку. 

если в переменной должно содержаться только число - то ctype_digit() подойдет?
Не точки, не запятой, не символов, только число. 

Да. 

Добавлю свой метод защиты. При использовании читабельных файлов с данными, можно переписать обращение к этим файлам (например по расширению ".txt"), через мод-реврайт, на 404-страницу. 

Я больше доверяю защите через .htaccess. Ко всем файлам которые инклюдяться однозначно 
 Также если некоторые файлы только для приватного использования то однозначно в .htaccess:


Что касается средств безопасности пхп, то однозначно не доверять ничему и никому - GET, POST, cookie, формы и т.д.

Очень часто встречается вид инъекции через GET, причем в самых разных приложениях, даже в тех за которые просятся крупные суммы денег. Я решаю эту проблему очень просто - просто напросто запрещаю все недопустмые символы в УРЛ - кавычки, скобки, "../" , как в прямом виде так и в Unicod. Приведу код, хотя он и не отличается оптимальностью, по идее бы это все надо делать регулярными выражениями но мне чета впадлу ща). Кстати на скорости работы всей системы в целом не влияет, но зато отпадает сразу уйма ненужной головной боли.

Является ли функция addslashes() приемлиемой для экранирования SQL запросов?

Мои предпочтения по убывающей 

mysql_real_escape_string
mysql_escape_string
addslashes

Нет, это понятно, я всегда пользуюсь mysql_real_escape_string, просто в данном вопросе мне нужно использовать функцию без подключения к БД, так как вставка происходит через API, написанные не мной и я не знаю есть ли там экранирование (хотя скорее всего есть)

Я бы использовал PDO->prepare в PHP5.

и твой сайт зациклен
http://alx.com.ru/index.php?act=../index

AntonioBanderaz
ок, спасибо) залатаю)

Мне кажется в статье не хватает очень важной инфы.... о куках  скажем о том что в куки низя писать, нельзя проверять только по логину из кук, и т.д.

Это сообщение отредактировал(а) R.M. - 7.1.2007, 18:49

И как она защитит?


http://phpclub.ru/detail/article/sessions

Да, что-то я немного не о том 


Что ты хотел этим сказать? 

Это сообщение отредактировал(а) R.M. - 7.1.2007, 18:48