Модераторы: skyboy, MoLeX, Aliance, ksnk

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> Защита движков 
V
    Опции темы
SneG0K
Дата 23.3.2008, 19:57 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Max Mara
***


Профиль
Группа: Завсегдатай
Сообщений: 1887
Регистрация: 1.12.2007
Где: Wis Dells

Репутация: 7
Всего: 54
Вот занялся я писать движки. Вроде уже так "каркас" сделал, пора мне переходить к безопасности. 

Ко мне в скрипт передаются числовые и текстовые параметры. Числовые фильтрую так 

Код

set_type($integer, "Integer");

 Вроде работает. Хочу спросить насколько это безопасно? И не было ли обнаружено ошибок в функции set_type?

А как мне фильтровать текстовые параметры, только на определенные символы?
Код

$alert=array("'","union","+","-","order","by","from","select","into");
PM WWW Skype   Вверх
ksnk
Дата 23.3.2008, 20:09 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


прохожий
****


Профиль
Группа: Комодератор
Сообщений: 6855
Регистрация: 13.4.2007
Где: СПб

Репутация: 96
Всего: 386
Надеюсь, как  правильно вставлять данные в Sql запросы - известно?



--------------------
Человеку свойственно ошибаться, программисту свойственно ошибаться профессионально ! user posted image
PM MAIL WWW Skype   Вверх
SneG0K
Дата 23.3.2008, 20:47 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Max Mara
***


Профиль
Группа: Завсегдатай
Сообщений: 1887
Регистрация: 1.12.2007
Где: Wis Dells

Репутация: 7
Всего: 54
Известно!
PM WWW Skype   Вверх
awers
Дата 23.3.2008, 21:26 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Участник
Сообщений: 1465
Регистрация: 22.3.2006
Где: Россия, Таганрог

Репутация: 21
Всего: 31
SneG0K, тогда думаю все отлично )
PM MAIL WWW ICQ Skype   Вверх
ksnk
Дата 23.3.2008, 21:29 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


прохожий
****


Профиль
Группа: Комодератор
Сообщений: 6855
Регистрация: 13.4.2007
Где: СПб

Репутация: 96
Всего: 386
Цитата(SneG0K @  23.3.2008,  20:47 Найти цитируемый пост)
Известно! 

Тогда не совсем понятен такой набор "символов" для фильтрования.
Цитата(SneG0K @  23.3.2008,  19:57 Найти цитируемый пост)
$alert=array("'","union","+","-","order","by","from","select","into");


про settype в комментариях на php.net отзываются большей частью непонимающе-недоуменно, однако явных дыр, вроде никто не нарыл...



--------------------
Человеку свойственно ошибаться, программисту свойственно ошибаться профессионально ! user posted image
PM MAIL WWW Skype   Вверх
SneG0K
Дата 23.3.2008, 21:33 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Max Mara
***


Профиль
Группа: Завсегдатай
Сообщений: 1887
Регистрация: 1.12.2007
Где: Wis Dells

Репутация: 7
Всего: 54
Тогда все отлично)
PM WWW Skype   Вверх
Feldmarschall
Дата 24.3.2008, 10:35 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок
****


Профиль
Группа: Участник
Сообщений: 2641
Регистрация: 11.12.2007

Репутация: 22
Всего: 32
SneG0K, насколько я понял, твои вопросы сводятся к защите от SQL инъекций.
Защита же "движков" не сводится только к ней. Приходится учитывать и другие вещи.

А по поводу SQL позволь задать тебе вопрос
Допустим, из формы передано имя поля, по которому надо сортировать выборку. Лежит оно в поле $sort
Как ты будешь формировать запрос с ним?
PM   Вверх
SneG0K
Дата 25.3.2008, 18:16 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Max Mara
***


Профиль
Группа: Завсегдатай
Сообщений: 1887
Регистрация: 1.12.2007
Где: Wis Dells

Репутация: 7
Всего: 54

Модератор: Сообщение скрыто.
PM WWW Skype   Вверх
Feldmarschall
Дата 25.3.2008, 19:47 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок
****


Профиль
Группа: Участник
Сообщений: 2641
Регистрация: 11.12.2007

Репутация: 22
Всего: 32
Тебе надо отсортировать таблицу по нему.
Покажи, как будешь составлять запрос.
PM   Вверх
Smith
Дата 25.3.2008, 20:51 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Шустрый
*


Профиль
Группа: Участник
Сообщений: 56
Регистрация: 17.1.2007

Репутация: 1
Всего: 2
htmlspecialchars() и striptags(), вот и минимум защиты ;)
PM MAIL   Вверх
Canarat
Дата 25.3.2008, 21:33 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Бывалый
*


Профиль
Группа: Участник
Сообщений: 212
Регистрация: 11.3.2008
Где: Каспий

Репутация: 5
Всего: 5
что ни сообщение так...

SneG0K

Цитата(SneG0K @  23.3.2008,  19:57 Найти цитируемый пост)
set_type($integer, "Integer");

а почему так, а не через запись типа $integer=(int) $integer ?

А вообще тут есть тема
http://forum.vingrad.ru/forum/topic-201930.html

И Feldmarschall задал правильный вопрос, подумай над сопоставлением данных от клиента с данными, которыми пользуется скрипт.
PM MAIL   Вверх
SneG0K
Дата 27.3.2008, 21:28 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Max Mara
***


Профиль
Группа: Завсегдатай
Сообщений: 1887
Регистрация: 1.12.2007
Где: Wis Dells

Репутация: 7
Всего: 54
Цитата(Canarat @  25.3.2008,  20:33 Найти цитируемый пост)

а почему так, а не через запись типа $integer=(int) $integer ?

Не знаю) Просто сет_тупе мне больше нравится)))

Feldmarschall, вот ответ на твой вопрос

Код

$id=$_GET['id'];
$id=set_type($id, "Integer");
$get_file=mysql_query("SELECT filename, file_url, top FROM files WHERE id='$id'", $link_id);
//И нижеследующая обработка результата
PM WWW Skype   Вверх
Feldmarschall
Дата 27.3.2008, 22:06 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок
****


Профиль
Группа: Участник
Сообщений: 2641
Регистрация: 11.12.2007

Репутация: 22
Всего: 32
И где здесь сортировка?

А если поле будет не целочисленное? будешь делать set_type($name, "String");?
PM   Вверх
ksnk
Дата 27.3.2008, 23:29 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


прохожий
****


Профиль
Группа: Комодератор
Сообщений: 6855
Регистрация: 13.4.2007
Где: СПб

Репутация: 96
Всего: 386
SneG0K, А можно привести текст процедуры set_type? Про нее не знают на  php.net. Если имеется ввиду settype, то запись
Цитата(SneG0K @  27.3.2008,  21:28 Найти цитируемый пост)
$id=set_type($id, "Integer");

Лишается вообще какого-либо смысла...


--------------------
Человеку свойственно ошибаться, программисту свойственно ошибаться профессионально ! user posted image
PM MAIL WWW Skype   Вверх
SneG0K
Дата 28.3.2008, 01:40 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Max Mara
***


Профиль
Группа: Завсегдатай
Сообщений: 1887
Регистрация: 1.12.2007
Где: Wis Dells

Репутация: 7
Всего: 54
Цитата(Feldmarschall @  27.3.2008,  21:06 Найти цитируемый пост)
А если поле будет не целочисленное? будешь делать set_type($name, "String");? 

Нет... там я буду делать по другому! 

Цитата(Feldmarschall @  27.3.2008,  21:06 Найти цитируемый пост)
А если поле будет не целочисленное? будешь делать set_type($name, "String");? 

Я занимаюсь другими языками программирования, поэтому мог допустить ошибку в синтаксисе! 
PM WWW Skype   Вверх
Ответ в темуСоздание новой темы Создание опроса
Правила форума "PHP"
Aliance
IZ@TOP
skyboy
SamDark
MoLeX

Новичкам:

  • PHP редакторы собираются и обсуждаются здесь
  • Электронные книги по PHP, документацию можно найти здесь
  • Интерпретатор PHP, полную документацию можно скачать на PHP.NET

Важно:

  • Не брезгуйте пользоваться тегами [code=php]КОД[/code] для повышения читабельности текста/кода.
  • Перед созданием новой темы воспользуйтесь поиском и загляните в FAQ
  • Действия модераторов можно обсудить здесь

Внимание:

  • Темы "ищу скрипт", "подскажите скрипт" и т.п. будут переноситься в форум "Web-технологии"
  • Темы с именами: "Срочно", "помогите", "не знаю как делать" будут УДАЛЯТЬСЯ

Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, IZ@TOP, skyboy, SamDark, MoLeX, awers.
 
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | PHP: Общие вопросы | Следующая тема »

Подписаться на тему | Подписка на этот форум | Скачать/Распечатать тему


 




[ Время генерации скрипта: 0.1675 ]   [ Использовано запросов: 22 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
 По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.