SQL Injections

Hillow

Tai va. Iškilo klausimas. Kaip jūs apsisaugot nuo tų injekcijų?

Vien prafiltruojat input'ą nuo ' " , ; ir t.t. ar dar ką nors darot?

Aš tai simple.... dėl suprantamų preižasčių visko nepateiksiu...

		$object_x=str_replace("$","",$object_x);
	$object_x=str_replace(" insert","",$object_x);
	$object_x=str_replace("insert ","",$object_x);
	$object_x=str_replace(" or","",$object_x);
	$object_x=str_replace("or ","",$object_x);
	$object_x=str_replace(" delete","",$object_x);
	$object_x=str_replace("delete ","",$object_x);
	$object_x=str_replace(" update","",$object_x);
	$object_x=str_replace("update ","",$object_x);
	$object_x=str_replace("||","",$object_x);
	$object_x=str_replace("document.location","",$object_x);

"Susirinkau" f-ją ir su ja viska filtruoju... :huh:

Su tokiu filtravimu ragai biški gaunas >:huh:. Prarandama galimybė naudot kai kuriuos žodžius forumo tekstuose :mellow:

Su tokiu filtravimu ragai biški gaunas >:huh:. Prarandama galimybė naudot kai kuriuos žodžius forumo tekstuose :mellow:

Galima nes yra tikrinama nuo "or " arba " or", o ne "or" :D

Aš šį filtravimą naudoju http://www.takefun.net paieškoms... :huh: ne koks forumas tai bėdų nėra :D

+ if(!is_numeric($page)){$page="0";} su šituo dalyku užtikrinu kad bent viena vieta saugi kur įvedamas puslapis :D.... :D

Šitas... "apsaugas" pats dariau :D

"Žaidžiu ta žaidimą už klasę Dominator ir sekasi puikiai :D"

Shit happens tokiu atveju.

Ką apie mysql_real_escape_string() manot? :huh:

Reiks tvarkyti :huh: gal gali plačiau kaip jį naudoti? :D

Gal $asd=mysql_real_escape_string($_POST['asd']);

mysql_query("SELECT shit FROM toilet WHERE a='".$asd."'); ?

:huh:

Aš tai simple.... dėl suprantamų preižasčių visko nepateiksiu...

		$object_x=str_replace("$","",$object_x);
	$object_x=str_replace(" insert","",$object_x);
	$object_x=str_replace("insert ","",$object_x);
	$object_x=str_replace(" or","",$object_x);
	$object_x=str_replace("or ","",$object_x);
	$object_x=str_replace(" delete","",$object_x);
	$object_x=str_replace("delete ","",$object_x);
	$object_x=str_replace(" update","",$object_x);
	$object_x=str_replace("update ","",$object_x);
	$object_x=str_replace("||","",$object_x);
	$object_x=str_replace("document.location","",$object_x);

 

"Susirinkau" f-ją ir su ja viska filtruoju... :huh:

Man tai atrodo, kad apskritai užtenka ' pakeisti į \', o " į \" prieš dedant. Ir, aišku, kintamuosius apskliaudinėti kabutėmis. Ar čia kažkur galėtų atsirasti saugumo spraga?

Arba dar geriau - jau minėta mysql_real_escape_string().

P.S. Jei jau nusprendi tiek daug žodžių replaceint, tai manau, kad geriau taip daryti:

$blogi_zodziai=array('$', ' insert', 'insert ', ' or', 'or ', ' delete', 'delete ', ' update', 'update ', '||', 'document.location');
$object_x=str_replace($blogi_zodziai, "", $object_x);

Man atrodo, kad toks kodas vykdomas greičiau, nei taviškis.

Na, bent jau aš tai naudoju visą laiką tokį variantą, kai daugiau nei 2 simbolių rinkinius reikia replaceint tuo pačiu tekstu. :D

Arba dar geriau - jau minėta mysql_real_escape_string().

O tarkim netiktų vien htmlspecialchars() funckija?

Vistiek pakeičia kabutes (") į &qout;

+ tai ne vien sql apsauga

O tarkim netiktų vien htmlspecialchars() funckija?

Vistiek pakeičia kabutes (") į &qout;

+ tai ne vien sql apsauga

Jei taip, ir tau tinka &quote;, tai tada gali, bet uzims daugiau vietos DB (nors retai tos kabutes naudojamos :rolleyes:)

O jis kaip nors replaceina ' ?

Tik dabar pamačiau, kad nepakeičia...

Ką gi, reikės naudot abudu htmlspecialchars() ir mysql_real_escape_string()

PHP turi funkciją mysql_real_escape_string(), kuri skirta apsisaugoti nuo SQL injekcijų.

PHP.net komentaruose siūloma naudoti tokią funkciją:

function quote_smart($value) {
  // Stripslashes
  if (get_magic_quotes_gpc()) {
   $value = stripslashes($value);
  }
  // Quote if not integer
  if (!is_numeric($value) || $value[0] == '0') {
   $value = "'" . mysql_real_escape_string($value) . "'";
  }
  return $value;
}

Jos pritaikymas:

mysql_query("INSERT INTO `users` SET `name` = ".quote_smart($_POST['name']));

Ir viskas.

O prieš išvedant į puslapį bet kokius duomenis, kuriuos gavote iš vartotojo, geriausia juos prafiltruoti (apsauga nuo javascript ir pan.):

echo htmlentities($value, ENT_QUOTES, 'UTF-8');