Здравствуйте!
В свободное время часто пишу разного рода сайты для практики.
Постепенно научился читать скрипты )
Но я мало знаком с защитой скрипта.
1.Пользуюсь mysql_real_escape_string() против разного рода ( '=' )
2. Сделал скрипт проверяет содержимое ($_SERVER['REQUEST_URI'])
если находит слова (include,delete,drop,union,order by…)
то сразу exit();
3. Содержимое id=? проверяется если не только цифры там то exit();
Жду советов :)
Как можно защитить сайт от Blind SQL Injection
Прочит статью про это там вроде через SIPT(прога) можно отправлять запросы
на сайт а именно на файл который отвечает за авторизацию.
Просто хочу узнать новые способы защиты сайта.
новые сообщения
ответы на мои сообщения
избранное
скрытые темы
случайный топик
ёбнуть всё в новых вкладках
Форум → Программирование → PHP для идиотов → Защита
Защита
-
Сообщения:
186
Репутация:
N
Группа:
Кто попало
-
Сообщения:
26646
Репутация:
N
Группа:
в ухо
Июль 17, 2010, 7:32 п.п., спустя 10 минут 40 секунд
лоло))
1. используй, 2 и 3 методы порождают пиздец ошибки, которые хуй отловишь, эдво подтвердит, да эдво?) как там наш юнион на пыхе))))))Сапожник без сапог -
Сообщения:
186
Репутация:
N
Группа:
Кто попало
Июль 17, 2010, 7:42 п.п., спустя 10 минут
phpdude, 2 метод заметил что если на сайте будет файл localhost.com/union.php то выдаст ошибку потому что есть слово union которую скрипт
видит как вредоносную комманду.
А вот 3 метод не должен вроде проблем делать
ID должен содержать только цифры если по нему вытаскивается инфа из базы по id.
если там будет ?id=' сразу ошибка и возможен взлом как я понял ) -
Сообщения:
26646
Репутация:
N
Группа:
в ухо
Июль 17, 2010, 7:47 п.п., спустя 5 минут 32 секунды
tartar, вы по дороге перед собой раскидываете грабли, на которые неприменно в будущем наступите, послушайте совет :)
1го варинта достаточноСапожник без сапог -
Сообщения:
186
Репутация:
N
Группа:
Кто попало
Июль 17, 2010, 7:57 п.п., спустя 9 минут 35 секунд
А в случае Blind SQL Injection что нужно иметь ввиду при написании кода ?
а именно для скрипта авторизации. -
Сообщения:
26646
Репутация:
N
Группа:
в ухо
Июль 17, 2010, 8:06 п.п., спустя 8 минут 53 секунды
Blind SQL Injection
а чем этот термин крутой отличается от обычной sql injection? :)Сапожник без сапог -
Сообщения:
1159
Репутация:
N
Группа:
Кто попало
-
Сообщения:
186
Репутация:
N
Группа:
Кто попало
Июль 17, 2010, 8:51 п.п., спустя 34 минуты 44 секунды
хз :) blind - слепой
Наверное SQL Injection в слепую.
Мне главное узнать как остальные защищают свои сайты - советы ) -
Сообщения:
1370
Репутация:
N
Группа:
Джедаи
-
Сообщения:
1370
Репутация:
N
Группа:
Джедаи
-
Сообщения:
186
Репутация:
N
Группа:
Кто попало
-
Сообщения:
790
Репутация:
N
Группа:
Кто попало
Июль 18, 2010, 1:38 д.п., спустя 4 часа 6 минут 7 секунд
хз :) blind - слепой
Наверное SQL Injection в слепую.
Мне главное узнать как остальные защищают свои сайты - советы )
я просто все данные добавляемые обрабатываю htmlspesialchars($data, ENT_QUOTES) -
Сообщения:
5210
Репутация:
N
Группа:
Джедаи
Июль 18, 2010, 11:41 д.п., спустя 10 часов 3 минуты 50 секунд
soulgarden, он не спрашивал про CSSСпустя 44 сек.а лучшая защита - это нападение
Пожалуйста, авторизуйтесь, чтобы написать комментарий!