Доброго времени суток Уважаемые Знатоки, тема конечно заеженная но всё-же, как лучше обезопасить сайт?

Объясню свой вопрос:
Если нужно ловить пользовательские данные в числовом виде то (integer) вполне спасает, гораздо интереснее дело обстоит с текстовым типом данных, к примеру в гостевой(чате или форуме) в текстовых сообщениях достаточно использования htmlspecialchars($str, ENT_QUOTES, 'cp1251'). Однако, при использовании форм авторизации желательно "восприятие" спецсимволов дабы повысить защиту, так вот собственно вопрос, какие символы (кроме кавычек естественно) можно использовать при записи\чтении в(из) БД, и в каком формате лучше всего записывать допустимые символы(в виде HTML сущностей или в "открытом" виде?).

Есть несколько кусочков кода над которыми размышляю...

Оригинал строки: формируеться в браузере как: linkB ?> # - -- / \* // ?> # ' "


"Выпиливание"(замена) из строки определённых символов: формируеться в браузере как: ahreflinkBlinkabBbdd, такой себе "топорный" вариант, зато 100% ни один спецсимвол который был запрещен не останеться в живых. Еще плюс(как по мне) то можно определённые символы заменять на какуюлибо определённую раннее соль, к примеру @$string_danger = str_replace("*", "salt_1543", $string_danger);, хотя вроде уже тянет на изврат   


Собственно сама перегонка в HTML сущности, с екранированием кавычек: формируеться в браузере как: <a href="linkB">link</a><b>B</b> ?> # - -- / \* // ?> # ' ", помоему самый лучший вариант для форм отправки сообщений во всякие чаты\ответы на темы на форуме, однако стоит-ли использовать такой подход в формах авторизации?


Ну и конечно-же использование mysql_real_escape_string: формируеться в браузере как: linkB ?> # - -- / \\* // ?> # \' \", с учётом что атрибут href тега <a> так-же подвергаеться экранированию кавычек(как в принципе и ожидаеться), однако mysql_real_escape_string никак не экранирует те-же символы = или /* или -- (что вродебы так-же являеться комментарием)


Еще раз напомню вопрос(в сжатом виде): Что из приведенного выше кода разумнее(правильнее?) использовать при проверке данных из форм авторизации?

Сейчас используеться конструкция вида:

хотя trim() работает только тогда когда последовательность спецсимволов введенных пользователем совпадают с последовательностью спецсимволов в trim()   

Не используйте старьё, вроде библиотеки mysql, она уже давно заменена на mysqli.
Используйте предподготовленные выражения вместо изобретания велосипеда.

Спасибо за совет, почитаю, однако сайт почти дописанный(да я не правильный сначала пишу всё, а потом вспоминаю что существует ещё и безопастность  ) и начинать всю работу с нуля ... особенно изучая обновленные(новые?) технологии думаю будет долговасто... хотелось-бы уже сделать всё на "старье" и после уже более-мение изучив обновленную библиотеку обновлять сайт, ибо такие перепады с одного на другое так-же могут стать "дырой", в конце концов опыт охоты с каменным топором и палкой тоже может пригодиться при охоте с ружьём   

Это сообщение отредактировал(а) 0Z0NE - 31.3.2013, 16:34

Ну ей уже как 10 лет скоро будет... Еще с 2004-го вместе с PHP 5.0 появилась...

Да и, в конце-концов,  писать все эти кучи строчек из первого поста вы готовы, а поменять пару старых и добавить пару новых строчек — это уже долго?

0Z0NE, вместо столбиков str_replace
можно посмотреть в сторону strtr()
если уж хочется использовать свой вариант

а какой смысл писать так?

//offtop
нужно сделать раздел "Вопросы по истории"   

[offtopic]
Надо просто сделать дополнительно поле при создании темы:
Укажите год выпуска/публикации тематического материала (учебник, статья, мануал...), в результате изучения/чтения/ознакомления с которым у вас возник описанный вами вопрос: 
И варианты:
2 года назад
1 год назад
В этом году

Других вариантов не предоставлять =))
[/offtopic]

Это сообщение отредактировал(а) Arantir - 1.4.2013, 18:59

В качестве фильтрации текста порекомендую вкусный инструмент jevix

о! похоже именно то что нужно, сча попробуемс... Спасибо большое)


на всякий пожарный экран от ошибок, хотя 99,9999% он лишний но паранойяжЭ  


ого премоч, не натыкался и даж не думал что такие водяться     Спасибо большое, посмотрю и этот вариант(когда научусь руками всё делать и не задавать глупых вопросов)


  я вот понять не могу чем неугодила Вам пускай и древненькая библиотека MySQL? наоборот по старинке надёжнее будет а переходить куда либо не разобравшись ИМХО поопаснее будет   
З.Ы. не в обиду будь сказано но это как паника с DIV, вроде круто и модно вроде и плюсы есть но спозиционировать кроссбраузерно див порой по коду выходит в пару раз больше нежели таблицами  

во-первых, это крайне неправильно. во-вторых, если уж и использовать этот костыль, то правильно.



видимо, программирование - не ваша основная деятельность, иначе бы вы знали, что тенденции очень динамичны и кто не успевает за ними - в отстающих.


по-моему, такая паранойя была лет 5 назад, сейчас уже никто таблицами не верстает, поэтому и паранойи нет.

Спасибо за объяснение ошибки с @, буду пытаться исправляться


Да Вы правы, профессионально не программирую, просто интересно бывает чегонить написать, особенно если ОНО(  ) работает   , ну а что-б не просто "лепить абы чего" иногда пытаюсь узнать как лучше сделать. Порой и для мозга зарядка, и своего рода творчество (каюсь за оффтоп)

Думаю дабы не разводить флуд тему пора закрывать, Спасибо еще раз всем кто помог и ткнул носом на путь истинный  

Это сообщение отредактировал(а) 0Z0NE - 2.4.2013, 17:01

0Z0NE, MySQL отличная вещь.... была когда-то.. Я просто уже давно использую "подготовленные выражения" и просто забыл что такое инъекции. Это давно в прошлом.. По этому тут всё чаще начинают смеяться над теми кто до сих пор пытается что-то придумывать из десятков (сотен) строк кода чтобы повысить безопасность.. Особенно когда приводят примеры из древнейших учебников. Хотя просто достаточно сделать очень маленький шаг вперёд и все эти глупости пройдут. А будешь упрямо сидеть на старье, никогда не шагнёшь со всеми в ногу   

Сори, это утверждение в программировании не работает =)


В отличии от обсуждаемой в данной теме вопроса, таблицы никогда не предназначались для верстки структуры страницы. Они должны были быть только таблицами, как br является только переносом строки, а hr — только линией. Просто больше всякие выверты верстать было нечем.

Она мне ничем не неугодила. Мне не угодили ваши неаргументированные решения. Существует способ, позволяющий решить вашу проблему в самом ее корне, скорее даже исколючить саму причину этой проблемы, и при этом вы отказываетесь от этого способа, ссылаясь лишь на собственное субъективное восприятие.
Если бы не ставилось вопроса о инъекциях (например, все запросы захардкодены и неизменяемы), то и предложения о mysqli с предподготовленными запросами, скорее всего, не последовало бы.

Если вам хочется "просто для души", то лучше почитайте, как работают те же предподготовленные запросы. Далеко не все "остатки истории" программирования напрямую полезны для изучения. SQL-инъекции — это проблема, которая "вылезла боком" из-за невозможности предусмотреть сразу все и вся. И посимвольная фильтрация — это, в принципе, просто "костыли", средства для борьбы с последствиями существования этой проблемы. Предподготовленные запросы же — это устранение проблемы, как таковой, так сказать, настоящее решение проблемы.

Это сообщение отредактировал(а) Arantir - 3.4.2013, 08:23

Gold Dragon, Arantir, это всё любовь нашего народа изобретать вилосипеды   а если серьезно то признаю что отношусь с опаской ко всему новому, сама тема библиотеки MySQLi интересна хотя-бы в плане расширения кругозора, однако как-то страшно ставить свои кровавые експерименты на почти дописаном сайте)

P.S. пока только окинул взглядом документацию, не углублялся, посему ничего конкретного не могу сказать, отчасти интересно, отчасти лениво перебирать по косточкам написанные конструкции где (как Вы уже догадались) каждая переменная полученная от пользователя "фильтруеться" методами наподобие тех, что описаны в первом посту, скорее всего переходить буду, но не сразу ибо нужно хотя-бы подпривыкнуть к конструкциям вида mysqli::$client_info, не говоря уже хотябы о частичном осознании смысла и логики того что я буду делать.

Это сообщение отредактировал(а) 0Z0NE - 3.4.2013, 11:53