Модераторы: skyboy, MoLeX, Aliance, ksnk
  

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> Что проще и надежней. 
:(
    Опции темы
Predator199
  Дата 2.12.2012, 22:22 (ссылка)    | (голосов:1) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 412
Регистрация: 1.2.2012

Репутация: -3
Всего: -4



 Так проверяю на инъекции 
Код

(isset($_POST['sl'])) ? htmlspecialchars(trim($_POST['sl'])) :  htmlspecialchars(trim($_GET['sl']));

Таких строчек скажем 20(разные посты и тд).
Скажите что проще и как будит быстрей php читать(какие фильтрации). И в тоже время надежные.

Это сообщение отредактировал(а) Predator199 - 2.12.2012, 22:24
PM MAIL   Вверх
Arantir
Дата 2.12.2012, 22:43 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Рыбак без удочки
**


Профиль
Группа: Участник
Сообщений: 960
Регистрация: 18.11.2012

Репутация: 16
Всего: 55



Инъекции куда? В базу данных?
htmlspecialchars предназначен для вывода HTML-кода на страницу. В частности, для не-выполнения этого кода из, например, комментариев.
Для запросов в базу данных следует использовать prepared statements (не в курсе, как на русский красиво перевести). Это надежно.




--------------------
interface Жопа {
    // ATTENTION: has to be implemented by every class of the project for proper project work
}
PM   Вверх
skyboy
Дата 2.12.2012, 22:47 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


неОпытный
****


Профиль
Группа: Модератор
Сообщений: 9820
Регистрация: 18.5.2006
Где: Днепропетровск

Репутация: 75
Всего: 260



Цитата(Predator199 @  2.12.2012,  21:22 Найти цитируемый пост)
 Так проверяю на инъекции 

это не проверка, а обработка. причем, с вытягиванием из GET'a или POST'a — при том, что обычно GET и POST просто для разных задач и одноименные параметры в них — подозрительно, можешь использовать $_REQUEST как синоним "то ли из $_GET, то ли из $_POST". это раз.
htmlspecialchars помогает против XSS, но никак не защищает от SQL-injection. А по контексту не понятно, от какой "инъекции" ты защищаешься. Это два. 
если ты защищаешься от XSS, то все равно — htmlspecialchars надо применять перед выводом. а не при обработке входных параметров скрипта. иначе, к примеру, будешь по статьям сайта искать не "R&D", а "R&D" и, естественно, поиск ничего не найдет. два с половиной.
trim не обязателен в любом случае. это три.
PM MAIL   Вверх
Arantir
Дата 2.12.2012, 23:12 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Рыбак без удочки
**


Профиль
Группа: Участник
Сообщений: 960
Регистрация: 18.11.2012

Репутация: 16
Всего: 55



Еще должен заметить, что одной функцией от всего вы не спасетесь. Смотрите на свое приложение так, как будто в нем всегда есть где-то дырка о которой вы просто не знаете.

И фильтровать желательно по мере потребности, а не в стиле "всенахзаэкранированоитипабезопасно".
- Если пользователь при регистрации ввел в логин что-то типа "*&^%$#@", то продолжать что-то с ним делать не имеет смысла.
- Если в поле "введите значение от 1 до 5" ввели строку длиннее одного символа, то продолжать что-то с ним делать не имеет смысла.
- Если в cookie с unix-меткой последнего визита содержаться буквы, то продолжать что-то с ним делать не имеет смысла.
....


Это сообщение отредактировал(а) Arantir - 2.12.2012, 23:17


--------------------
interface Жопа {
    // ATTENTION: has to be implemented by every class of the project for proper project work
}
PM   Вверх
Predator199
  Дата 3.12.2012, 06:17 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 412
Регистрация: 1.2.2012

Репутация: -3
Всего: -4



Спасибо.
Цитата(skyboy @  2.12.2012,  22:47 Найти цитируемый пост)
то все равно — htmlspecialchars надо применять перед выводом. а не при обработке входных параметров 


А как можно напакостить сайту выводом данных? 

Это сообщение отредактировал(а) Predator199 - 3.12.2012, 06:25
PM MAIL   Вверх
Arantir
Дата 3.12.2012, 07:44 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Рыбак без удочки
**


Профиль
Группа: Участник
Сообщений: 960
Регистрация: 18.11.2012

Репутация: 16
Всего: 55



Predator199, например, написать в комментарий:
Код

<script> while(true) { alert(''); } </script>

Не говоря уже о get/post запросах через ajax, которыми можно или положить серв или анти-ддос положит всех юзеров в блек-лист без их ведома.

Это сообщение отредактировал(а) Arantir - 3.12.2012, 07:47


--------------------
interface Жопа {
    // ATTENTION: has to be implemented by every class of the project for proper project work
}
PM   Вверх
  
Ответ в темуСоздание новой темы Создание опроса
Правила форума "PHP"
Aliance
IZ@TOP
skyboy
SamDark
MoLeX

Новичкам:

  • PHP редакторы собираются и обсуждаются здесь
  • Электронные книги по PHP, документацию можно найти здесь
  • Интерпретатор PHP, полную документацию можно скачать на PHP.NET

Важно:

  • Не брезгуйте пользоваться тегами [code=php]КОД[/code] для повышения читабельности текста/кода.
  • Перед созданием новой темы воспользуйтесь поиском и загляните в FAQ
  • Действия модераторов можно обсудить здесь

Внимание:

  • Темы "ищу скрипт", "подскажите скрипт" и т.п. будут переноситься в форум "Web-технологии"
  • Темы с именами: "Срочно", "помогите", "не знаю как делать" будут УДАЛЯТЬСЯ

Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, IZ@TOP, skyboy, SamDark, MoLeX, awers.

 
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | PHP: Общие вопросы | Следующая тема »


 




[ Время генерации скрипта: 0.0693 ]   [ Использовано запросов: 21 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.