Безопасность WAP-ENGINE - Visavi.net
https://visavi.net/
RSS - Visavi.nethttps://visavi.net/assets/img/images/logo_small.pngRSS - Visavi.net
https://visavi.net/
[email protected] (admin)[email protected] (admin)Tue, 21 May 2024 03:29:27 +0300<blockquote class="blockquote"><strong>17а3иТиФф</strong> (28 Августа 2010 / 01:28)<br>
НИЧЕГО фильтровать не надо. СУБД - на то она и СУБД, а не *** какая-то, чтобы нормально любые данные принимать.<br>
Наша задача - просто правильно эти данные преподнести.<br>
Защищаться надо так(применительно к PHP и mysql):<br>
1) Если поле в базе числовое, то: (int) (ну или intval()). Можно по модулю взять при использовании в LIMIT, но это не секурити-дырка.<br>
2) Если текстовое, то просто mysql_real_escape_string()<br>
3) Всякие magic quotes и подобные затычки отключены. Кто не отключил - ССЗБ(что это означает - смотрите на LOR'е)<br>
И ВСЕ! Больше ничего не надо. Ибо запрос испортить левыми данными нельзя.<br>
Повторю еще раз: НИКАКИХ ФИЛЬТРАЦИЙ.<br>
LIKE/RLIKE/AGAINST/etc - это частный случай, и рассматривается отдельно.</blockquote>
Чушь, для такого движка лучше сразу всё фильтровать. Нагрузка существенно меньше
https://visavi.net/topics/12860/234769
Безопасность WAP-ENGINE StudentsovSat, 28 Aug 2010 12:36:06 +0400Сообщенияhttps://visavi.net/topics/12860/23476974. <strong>17а3иТиФф</strong>, это мне на будущее будет полезно, когда я буду делать версию двига на мускуле ;) спасибо
https://visavi.net/topics/12860/234620
Безопасность WAP-ENGINE ВладимирSat, 28 Aug 2010 02:34:36 +0400Сообщенияhttps://visavi.net/topics/12860/234620<blockquote class="blockquote"><strong>_SD_</strong> (27 Августа 2010 / 11:31)<br>
убери "()<> что б эти символы фильтровались.) то есть не выводило)<br>
+ что б пользователь мог только 1 ссылку добавить</blockquote>
НИЧЕГО фильтровать не надо. СУБД - на то она и СУБД, а не *** какая-то, чтобы нормально любые данные принимать.<br>
Наша задача - просто правильно эти данные преподнести.<br>
Защищаться надо так(применительно к PHP и mysql):<br>
1) Если поле в базе числовое, то: (int) (ну или intval()). Можно по модулю взять при использовании в LIMIT, но это не секурити-дырка.<br>
2) Если текстовое, то просто mysql_real_escape_string()<br>
3) Всякие magic quotes и подобные затычки отключены. Кто не отключил - ССЗБ(что это означает - смотрите на LOR'е)<br>
И ВСЕ! Больше ничего не надо. Ибо запрос испортить левыми данными нельзя.<br>
Повторю еще раз: НИКАКИХ ФИЛЬТРАЦИЙ.<br>
LIKE/RLIKE/AGAINST/etc - это частный случай, и рассматривается отдельно.
https://visavi.net/topics/12860/234594
Безопасность WAP-ENGINE MODIFIKATORSat, 28 Aug 2010 01:28:22 +0400Сообщенияhttps://visavi.net/topics/12860/234594Огромное спасибо. Буду ковырять <img src="https://visavi.net/uploads/stickers/smile.gif" alt="smile">
https://visavi.net/topics/12860/234523
Безопасность WAP-ENGINE ВладимирFri, 27 Aug 2010 23:36:30 +0400Сообщенияhttps://visavi.net/topics/12860/234523я копировал не исправляя, когда то тоже пример нужен был))
https://visavi.net/topics/12860/234512
Безопасность WAP-ENGINE ramzesFri, 27 Aug 2010 23:24:45 +0400Сообщенияhttps://visavi.net/topics/12860/234512скорее, анти<strong>д</strong>ос
https://visavi.net/topics/12860/234506
Безопасность WAP-ENGINE WCOFri, 27 Aug 2010 23:17:07 +0400Сообщенияhttps://visavi.net/topics/12860/234506<a href="http://smartoff.net/load/file354" target="_blank" rel="nofollow">АнтиДдос</a> вот тебе пример алгоритма
https://visavi.net/topics/12860/234489
Безопасность WAP-ENGINE ramzesFri, 27 Aug 2010 22:58:25 +0400Сообщенияhttps://visavi.net/topics/12860/234489<blockquote class="blockquote"><strong>WCO</strong> (27 Августа 2010 / 12:34)<br>
61. <strong>17а3иТиФф</strong>, насколько помню, ангина на файлах.<br>
тут не до скулей <img src="https://visavi.net/uploads/stickers/D.gif" alt="D"> </blockquote>
Да да. Но за ссылочки ему спасибо
https://visavi.net/topics/12860/234118
Безопасность WAP-ENGINE ВладимирFri, 27 Aug 2010 12:38:12 +0400Сообщенияhttps://visavi.net/topics/12860/23411867. <strong>WCO</strong>, верно помнишь
https://visavi.net/topics/12860/234117
Безопасность WAP-ENGINE ApecccFri, 27 Aug 2010 12:37:40 +0400Сообщенияhttps://visavi.net/topics/12860/23411761. <strong>17а3иТиФф</strong>, насколько помню, ангина на файлах.<br>
тут не до скулей <img src="https://visavi.net/uploads/stickers/D.gif" alt="D">
https://visavi.net/topics/12860/234114
Безопасность WAP-ENGINE WCOFri, 27 Aug 2010 12:34:42 +0400Сообщенияhttps://visavi.net/topics/12860/23411464. <strong>CHUMA</strong>, но что б пользователь мог только 1 ссылку добавить<br>
! это сделай)
https://visavi.net/topics/12860/234091
Безопасность WAP-ENGINE УдаленныйFri, 27 Aug 2010 12:26:37 +0400Сообщенияhttps://visavi.net/topics/12860/23409164. <strong>CHUMA</strong>, точно)
https://visavi.net/topics/12860/234090
Безопасность WAP-ENGINE УдаленныйFri, 27 Aug 2010 12:26:14 +0400Сообщенияhttps://visavi.net/topics/12860/234090<blockquote class="blockquote"><strong>_SD_</strong> (27 Августа 2010 / 11:31)<br>
убери "()<> что б эти символы фильтровались.) то есть не выводило)<br>
+ что б пользователь мог только 1 ссылку добавить</blockquote>
Зачем их убирать? Они нужны. Даже если ты эти символы напишешь, то они всё равно не будут работать ;) они же переводятся в html сущности. Где ты видел чтоб эти символы делали чтоб они не выводились?
https://visavi.net/topics/12860/234087
Безопасность WAP-ENGINE ВладимирFri, 27 Aug 2010 12:25:41 +0400Сообщенияhttps://visavi.net/topics/12860/234087убери "()<> что б эти символы фильтровались.) то есть не выводило)<br>
+ что б пользователь мог только 1 ссылку добавить
https://visavi.net/topics/12860/234025
Безопасность WAP-ENGINE УдаленныйFri, 27 Aug 2010 11:31:35 +0400Сообщенияhttps://visavi.net/topics/12860/23402561. <strong>17а3иТиФф</strong>, спасибо большое. Я конечно не совсем НОЛЬ, основы чуть чуть знаю. Но этого совсем мало <img src="https://visavi.net/uploads/stickers/smile.gif" alt="smile">
https://visavi.net/topics/12860/234021
Безопасность WAP-ENGINE ВладимирFri, 27 Aug 2010 11:17:12 +0400Сообщенияhttps://visavi.net/topics/12860/234021