kielek
28.01.2011, 17:02:55
Cześć
Dzisiaj dowiedziałem się, że moja strona jest dziurawa i bardzo łatwo się na nią włamać. Wszystkie przekazywane dane są filtrowanie przez intval() do liczbowych oraz htmlspecialchars(addslashes()) do stringów. Wszystkie ew. błędy są wytłumianie i nie są wyświetlane, jednak strona jest podobno dziurawa i można się włamać na serwer...
Pytanie teoretyczne:
Jakie jeszcze zabezpieczenia można zrobić? Co chronić?
emajl22
28.01.2011, 17:05:25
htmlspecialchars NIC NIE DA przy wrzucaniu do bazy czy gdziekolwiek. Nie wiem co Wy z tym macie!! Tej funkcji używa się przy WYŚWIETLANIU
kielek
28.01.2011, 17:13:50
Dzięki za odpowiedź, to do mnie trafiło.
mysql_real_escape_string + ew. strip_tags?
Mephistofeles
28.01.2011, 19:12:32
Nie. PDO i prepared statements. Zapomnij o mysql_, było dobre może 5 lat temu. Nic nie filtruj przy wrzucaniu do bazy, tylko przy wyświetlaniu, prepared statements załatwią przy okazji problem SQL Injection.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę
kliknij tutaj.