Ochrana vstupu v PHP

m3thod-man

Zdravim!
Potrebujem poradit jak najlepsie ochranit vstup pri skriptoch php pred vsemoznymi druhmi injection a inych utokov. Pri prihlasovani,registrovani a celkovo pri praci s DB. Nasiel som par funkcii,precital neake clanky ale mam vtom neaky chaos.Tych funkcii je neak vela ( addslashes(),stripslashes(),mysql_real_escape_string(),htmlspecialchars(),eregi_replace() ):(

vivaSlovakia

ochranis vystup a ziadny injection sa konat nebude
napr.
htmlentities(); => http://sk.php.net/manual/cs/function.htmlentities.php
str_replace(); => http://sk.php.net/manual/cs/function.str-replace.php
rtrim(); => http://sk.php.net/manual/cs/function.rtrim.php
ltrim(); => http://sk.php.net/manual/cs/function.ltrim.php

tak trim() ti velmi nepomoze.
najdolezitejsie su mysql_real_escape_string() a htmlentities();
prva z vymenovanych funkcii ta ochrani pred sql injection a treba nou osetrovat VSETKY parametre akejkolvek sql query
druha funkcia ta ochrani pred html injection a s nou suvisiacim XSS.

Pozri, či máš zapnuté magic quotes (teda automatické používanie tých funkcií) (funkcia get_magic_quotes_gpc()).

m3thod-man

- skusam tu funkciu mysql_real_escape_string(), ale vidim ze prepusta ciarky,dvojbodky,bodkociarku. To nevadi??Da sa stym porobit neaka neplecha??
- a ked hashujem heslo hned tam to nemusim riesit,ze?

Hlavne je, aby to neprepustalo zatvorky, ci uz hranate alebo oble. Hashovanie hesla je hadam automatika, je to minimalna bezpecnost, takze MD5 je nevyhnutne. Myslim, ze dobre by bolo zvolit skor cestu SHA1, je to predsalen bezpecnejsie ako MD5.

Príspevok od používateľa **ppt** » 06 máj 2007, 0:06

Poznate niekto dobre stranky ohladne bezpecnosti v php a mysql? Taktiez ma to velmi zaujima. Ak by ste poznali aj take stranky, kde sa pise o sposobe "hacknutia" nezabezpecenych php stranok, tak prosim hodte link.

Ide o to, ze si chcem na svojich strankach vyskusat, v akom su stave, no nepoznam sposoby ako to otestovat..

m3thod-man

hojko napísal:Hlavne je, aby to neprepustalo zatvorky, ci uz hranate alebo oble. Hashovanie hesla je hadam automatika, je to minimalna bezpecnost, takze MD5 je nevyhnutne. Myslim, ze dobre by bolo zvolit skor cestu SHA1, je to predsalen bezpecnejsie ako MD5.

no to je divne,zatvorky to normalne prepusta. Skusal som hranate aj oble a presli.

hashovanie len SHA1, neni sice ties dokonale ale lepsie ako md5.Najlepsie este poistit neakymi nahodnym stringom.

vivaSlovakia

ppt napísal:Poznate niekto dobre stranky ohladne bezpecnosti v php a mysql? Taktiez ma to velmi zaujima. Ak by ste poznali aj take stranky, kde sa pise o sposobe "hacknutia" nezabezpecenych php stranok, tak prosim hodte link. Ide o to, ze si chcem na svojich strankach vyskusat, v akom su stave, no nepoznam sposoby ako to otestovat..

http://www.soom.cz

co s tym maju zatvorky? si myslel uvodzovky vsak?

Kód: Vybrať všetko

function sqlesc($x) {
 $x = stripslashes($x);
return "'".mysql_real_escape_string($x)."'";
}

function sqlwildcardesc($x) {
    return str_replace(array("%","_"), array("\\%","\\_"), mysql_real_escape_string($x));
}

roman3x

lama2d napísal:
Kód: Vybrať všetko
str_replace(array("%","_"), array("\\%","\\_")

preco konkretne toto?