Forum PHP.pl > htmlspecialchars, a sql injection

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: htmlspecialchars, a sql injection

.radex

9.04.2007, 09:16:28

Jeśli taki temat był, to sorka - strona szukaj nie chce się ładować

Pytam tutaj, ponieważ to co zdobyłem nie dało mi jednoznacznej odpowiedzi.

Czy sposób na zabezpieczenie się przed atakiem sql injection (czy coś takiego) może być po prostu, filtrując zmienne z posta używając htmlspecialchars(); czy będe musiał zmieniać mnóóóóstwo zapytań sql, tak jak było to w przykładzie (temat - SQL inserction/ injection) ? Gdzieś znalazłem, że sposób na zabezpieczenie się nad atakiem jest dodając przed apostrofami i cudzysłowami backslasha, ale było to napisane w niejednoznaczny sposob....

pbnan

9.04.2007, 17:47:16

SQL Injection - zastrzyk SQL (dosłownie).

Przed tym atakiem nie obronisz się stosując htmlspecialchars() - ta funkcja się bardziej przydaje przy obronie przed XSS

Musisz pododawać te cudzysłowy/apostrofy w odpowiednie miejsca w zapytaniach, niestety.

JaRoPHP

9.04.2007, 18:45:31

Te funkcje (jedna z nich) powinny być używane, aby dodać "znak ucieczki" w danych wyjściowych dla MySQL-a:
- mysql_real_escape_string " title="Zobacz w manualu PHP" target="_manual,
- mysql_escape_string" title="Zobacz w manualu PHP" target="_manual,
- addslashes" title="Zobacz w manualu PHP" target="_manual (w ostateczności).

.radex

10.04.2007, 16:37:34

ale przecieeż htmlspecialchars dodaje backslasha przed apostrofem?

Kicok

10.04.2007, 16:57:12

Nie dodaje: htmlspecialchars" title="Zobacz w manualu PHP" target="_manual.

Może masz włączone magic_quotes_gpc i dlatego ci się wydaje, że jakaś funkcja ci dodaje backslashe?

Osobiście jednak uważam magic_quotes_gpc za dziadostwo a nie zabezpieczenie i w poważniejszych skryptach używam na początku:

[PHP] pobierz, plaintext 
<?php
  if(get_magic_quotes_gpc() == 1) 
  {
	function remove_slashes(&$item, $key) {
	  $item = stripslashes($item);
	}
 
	array_walk_recursive($_POST, 'remove_slashes');
	array_walk_recursive($_GET, 'remove_slashes');
	array_walk_recursive($_COOKIE, 'remove_slashes');
  }
?>
[PHP] pobierz, plaintext

Oczywiście później przed przekazaniem zmiennych do zapytania zabezpieczam je na swój sposób.

.radex

10.04.2007, 17:00:37

ummmm.... masz rację.. sorka, zamienia na kod. czyli wg. JaroPHP nie musze zmieniac tych zapytan pod warunkiem, że użyje jedna z tych funkcji?

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.