sql security

Σε αυτή την περιοχή μπορείτε να βρείτε ή να αναζητήσετε πληροφορίες σχετικές με την PHP

Συντονιστές: WebDev Moderators, Super-Moderators, PHP Moderators

Απάντηση
kapoios001
Δημοσιεύσεις: 403
Εγγραφή: 17 Φεβ 2011 12:26

sql security

Δημοσίευση από kapoios001 » 28 Απρ 2011 20:54

Ναι δεν χρειάζεται κάτι περίπλοκο.

Άβαταρ μέλους
p_pan
Δημοσιεύσεις: 1248
Εγγραφή: 11 Φεβ 2007 20:45
Τοποθεσία: Άστεγος!

sql security

Δημοσίευση από p_pan » 28 Απρ 2011 20:55

Μια χαρα... ευχαριστω και τους δυο για την βοηθεια... θα ξεκινησω να το φτιαχνω...

και παλι ευχαριστω...
Αγράματος...

Άβαταρ μέλους
korgr
Honorary Member
Δημοσιεύσεις: 5067
Εγγραφή: 07 Οκτ 2008 18:30
Τοποθεσία: Corinth
Επικοινωνία:

sql security

Δημοσίευση από korgr » 28 Απρ 2011 21:12

δεν τελείωσες
Κοίτα και για XSS Attacks

Επίσης αν χρησιμοποιείς και την PHP_SELF κοίτα και αυτο:
http://phpsecurity.wordpress.com/2007/1 ... -php_self/

Άβαταρ μέλους
p_pan
Δημοσιεύσεις: 1248
Εγγραφή: 11 Φεβ 2007 20:45
Τοποθεσία: Άστεγος!

sql security

Δημοσίευση από p_pan » 28 Απρ 2011 21:45

Πως ακριβως μπορει καποιος να προστατευτει απο xss attacks?

(η φορμα δεν θα τρεχει σε PHP_SELF)
Αγράματος...

kapoios001
Δημοσιεύσεις: 403
Εγγραφή: 17 Φεβ 2011 12:26

sql security

Δημοσίευση από kapoios001 » 29 Απρ 2011 02:27

Από XSS attacks για να προστατευθείς θα χρησιμοποιήσεις το htmlspecialchars() όταν θα εμφανίζεις τα στοιχεία του χρήστη.

Π.χ. αν υποθέσουμε ότι ο χρήστης έχει συμπληρώσει μια φόρμα και έχει κάνει κάποιο λάθος και εσύ θες να του εμφανίσεις την φόρμα συμπληρωμένη βάση αυτόν που έβαλε στα πεδία θα έγραφες:

Κώδικας: Επιλογή όλων

<?php

$username = false;
if &#40;isset&#40;$_POST&#91;'submit'&#93;&#41;&#41; &#123; // an exei ypobli8ei i forma
   if &#40;!empty&#40;$_POST&#91;'username'&#93;&#41;&#41; &#123; // an exei simplirosei to username
     $username = trim&#40;htmlspecialchars&#40;$_POST&#91;'username'&#93;&#41;&#41;;
   &#125;
&#125;
else &#123;
// i forma den exei ypobli8ei, emfanise tin
?>
<form action="form.php" method="post">
<input type="text" name="username" value="<?php echo $username; ?>" />
<input type="submit" name="submit" value="Submit" />
</form>
<?php
&#125;
Συγχώρεσέ με για τον πρόχειρο κώδικα, απλώς ήθελα να σου δείξω την χρήση του htmlspecialchars(). Καλό είναι να χρησιμοποιείς και το trim() για να αφαιρείς τα white spaces.

kapoios001
Δημοσιεύσεις: 403
Εγγραφή: 17 Φεβ 2011 12:26

sql security

Δημοσίευση από kapoios001 » 29 Απρ 2011 02:31

Α, να πω ότι μπορείς να χρησιμοποιήσεις και το strip_tags() το οποίο αφαιρεί τελείως τα HTML tags και αφήνει μόνο το καθαρό input.

Για να καταλάβεις λίγο τι ακριβώς είναι τα XSS attacks σκέψου ότι έχεις μια εφαρμογή που γράφει κάποιος σχόλια για το site, και σου γράφει στα σχόλια ο "κακόβουλος" χρήστης:
Hi Michael, very gud job, keep it up! <img src="http://google.com/images/logo.gif" onload="window.location='http://sam.com/'" />
Η όλη φασαρία δεν γίνεται επειδή έβαλε μια εικόνα με το λογότυπο της Google, αλλά επειδή έχει κώδικα που σε στέλνει σε άλλο site και οι χρήστες του site όταν θα βλέπουν αυτή τη σελίδα θα μεταφέρονται αυτόματα στο sam.com ή σε όποιο άλλο site ορίσει ο κακόβουλος χρήστης.

Θα μου πεις εντάξει και ποιο το κακό να βάλει κάποιος ένα redirect; Δεν είναι μόνο αυτό, είναι ότι μπορεί να κλέψει και τα cookies των χρηστών που βλέπουν τα site σου, και τα cookies περιέχουν ευαίσθητες πληροφορίες.

Απάντηση

Επιστροφή στο “PHP Προγραμματισμός”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες