Ищу грамотного кодера

Печать RSS
362

F
Автор
Чатланин
0
Ищу грамотного кодера для проверки скриптов на уязвимости. Возможно долгосрочное сотрудничество. Главный критерий - хороший опыт и грамотность php. Сам я тоже хорошо знаю php, но в вопросах безопасности кажется оплашал. Отписываемся в теме.
А

Оранжевые штаны
0
В шапку
<?php  
function int($no){//Для чисел  
$int=(int)$no;//Это число  
$int=($int<1) ? 1 : $int;//Терь это число от 1 и более  
return $int;   
 }  
    function cool($x)  
{  
$x=mysql_escape_string($x);//т.к <-- не фильтрует  
$x=str_replace('%','',$x);//Это и  
$x=str_replace('-','',$x);//Это  
$x=htmlspecialchars($x);//на. нам xss  
$x=str_replace("\00",'',$x);//Ну и нуль байт  
return $x;  
}  
?>
F
Автор
Чатланин
0
2 не понял тебя. ты показываешь что грамотен или это уже готовое решение от "всех" бед? =)

Дух
0
Это готовое решение от почти всех бед, кроме хостингов
А

Оранжевые штаны
0
для ленивых
<?
function antihack(&$var){
if(is_array($var)) array_walk($var, 'antihack'); else{
$var = htmlspecialchars(stripslashes (mysql_real_escape_string($var)), ENT_QUOTES, 'UTF-8');
$var=mysql_escape_string($var);//т.к <-- не фильтрует   
$var=str_replace('%','',$var);//Это и   
$var=str_replace('-','',$var);//Это   
$var=htmlspecialchars($var);//на. нам xss   
$var=str_replace("\00",'',$var);//Ну и нуль байт   
}  
}  
}
foreach(array('_SERVER', '_GET', '_POST', '_COOKIE', '_REQUEST') as $v){
if(!empty(${$v})) array_walk(${$v}, 'antihack');} 
?>
тупо копируем в шапку и больше ни чего не делаем))
А

Оранжевые штаны
0
ошибся
<?php
function antihack(&$var){
if(is_array($var)) array_walk($var, 'antihack'); else{
$var = htmlspecialchars(stripslashes (mysql_real_escape_string($var)), ENT_QUOTES, 'UTF-8');
$var=mysql_escape_string($var);//т.к <-- не фильтрует
$var=str_replace('%','',$var);//Это и
$var=str_replace('-','',$var);//Это
$var=htmlspecialchars($var);//на. нам xss
$var=str_replace("\00",'',$var);//Ну и нуль байт
}
}
foreach(array('_SERVER', '_GET', '_POST', '_COOKIE', '_REQUEST') as $v){
if(!empty(${$v})) array_walk(${$v}, 'antihack');}
?>
А

Оранжевые штаны
0
<?php
//сори ещё раз ошибся((
function antihack(&$var){
if(is_array($var)) array_walk($var, 'antihack'); else{
$var=mysql_escape_string($var);//т.к <-- не фильтрует   
$var=str_replace('%','',$var);//Это и   
$var=str_replace('-','',$var);//Это   
$var=htmlspecialchars($var,ENT_QUOTES, 'UTF-8');//на. нам xss   
$var=str_replace("\00",'',$var);//Ну и нуль байт   
}  
}
foreach(array('_SERVER', '_GET', '_POST', '_COOKIE', '_REQUEST') as $v){
if(!empty(${$v})) array_walk(${$v}, 'antihack');} 
?>
В

Чатланин
0
От какой опасности вот это защищает?
$var=str_replace('%','',$var);//Это и    
$var=str_replace('-','',$var);//Это
$var=str_replace("\0 0",'',$var);//Ну и нуль байт  
А

Оранжевые штаны
0
8, mysql_escape _string и mysql_real_ escape_string не фильтруют - и % . -тире это коментарий, пример входа без пасса SELE CT звезда FR OM 'users' where 'usr'=$user and `pass`=$pass O RDER BY `id`  DES C LIMI T 1; а теперь введём user=admin и pass=1-тире поскольку -тире это коментарий запрос превратится в FROM `users` where `usr`=$user and 1 ну и всё условие верно )), теперь % к примеру на сайте есть поис , в mysql '%' это любое значение тоесть есле искать в бд с 1млн записями % нагрузка будет большая есле конечно там нет лимита тупой пример но хоть какойта)), теперь "\00" или нуль байт. ну тут премеров можно привести не один, вот к примеру функция ereg* ни чего не фильтрует после \00 считая это концом строки. 
В

Чатланин
0
Ну блин.. я 2 года програмлю.. учится никогда не поздно.. МузТв спасибо за инфу
Стикеры / Теги / Правила / Топ тем / Топ постов / Поиск