Evitarea injectiilor sql

mfwsro

Oaspete

Karma: +0/-10
Mesaje: 28

Evitarea injectiilor sql

« : Octombrie 23, 2009, 12:56:05 »

Inlocuiti obisnuitele

Citat

$test = $_GET['test'];
$test = $_POST['test'];
$test = $_REQUEST['test'];

Citat

$test = mysql_real_escape_string($_GET['test']);
$test = mysql_real_escape_string($_POST['test']);
$test = mysql_real_escape_string($_REQUEST['test']);

Citat

function sqltest($x)
{
return "'".mysql_real_escape_string($x)."'";
}
echo "".sqltest($_GET['test'])."";
echo "".sqltest($_POST['test'])."";
echo "".sqltest($_REQUEST['test'])."";

Intr-o fila config.php sa zic,adaugati

Citat

if(!get_magic_quotes_gpc())
{
if(is_array($_GET))
{
while(list($k, $v) = each($_GET))
{
if(is_array($_GET[$k]))
{
while(list($k2, $v2) = each($_GET[$k]))
{
$_GET[$k][$k2] = addslashes($v2);
}
@reset($_GET[$k]);
}else{
$_GET[$k] = addslashes($v);
}
}
@reset($_GET);
}
if(is_array($_POST))
{
while(list($k, $v) = each($_POST))
{
if(is_array($_POST[$k]))
{
while(list($k2, $v2) = each($_POST[$k]))
{
$_POST[$k][$k2] = addslashes($v2);
}
@reset($_POST[$k]);
}else{
$_POST[$k] = addslashes($v);
}
}
@reset($_POST);
}
}

Citat

ini_set("display_errors", "0");
if(!get_magic_quotes_gpc())
{
$_GET = array_map('trim', $_GET);
$_POST = array_map('trim', $_POST);
$_COOKIE = array_map('trim', $_COOKIE);

$_GET = array_map('addslashes', $_GET);
$_POST = array_map('addslashes', $_POST);
$_COOKIE = array_map('addslashes', $_COOKIE);
}

Si/ori in htaccess adaugati

Citat

IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti*
<Limit GET POST>
order deny,allow
deny from all
allow from all
</Limit>
<Limit PUT DELETE>
order deny,allow
deny from all
</Limit>
<Files images>
deny from all
</Files>
<Files *.php>
deny from all
</Files>
<Files *.php.*>
deny from all
</Files>
<Files *.php.php.*>
deny from all
</Files>
magic_quotes_gpc = On


	Memorat

Mfws.Ro - the largest collection of mobile friendly web, seo and mobile utilities.

DotBoost

Oaspete

Karma: +0/-0
Mesaje: 51

Răspuns: Evitarea injectiilor sql

« Răspunde #1 : Octombrie 23, 2009, 08:13:58 »

Sau folositi PDO si prepared statement, si gata treaba, fara alte complicatii.


	Memorat

Marian

Membru

Karma: +2/-4
Mesaje: 262

Răspuns: Evitarea injectiilor sql

« Răspunde #2 : Octombrie 24, 2009, 04:33:29 »

Nu este mai simplu asa ?!

fisier: clean.php

<?php
function clean($str) {
$str = @trim($str);
if(get_magic_quotes_gpc()) {
$str = stripslashes($str);
}
return mysql_real_escape_string($str);
}
?>

se include fisierul clean.php si apoi este simplu:

exemple:
$ceva = clean($_REQUEST['ceva']);
$ceva = clean($_POST['ceva']);

------------------------------------------------------------------------

// Apropo de fisiere si deny din .htaccess, as adauga si astea:

<Files ~ "^(.*)\.(inc|tpl|sql)$">
Order deny,allow
Deny from all
</Files>


	Memorat

Marian

Membru

Karma: +2/-4
Mesaje: 262

Răspuns: Evitarea injectiilor sql

« Răspunde #3 : Octombrie 24, 2009, 03:56:44 »

Citat din mesajul lui: mfwsro din Octombrie 23, 2009, 12:56:05

Inlocuiti obisnuitele cu sauIntr-o fila config.php sa zic,adaugatisauSi/ori in htaccess adaugati
..............................

<Files *.php>
deny from all
</Files>

Sincer, asta este cea mai tare protectie sql injection vazuta vreodata Trist