Анти Php-inj And Sql-inj

O*nix

Старейшина
Репутация
55 / 768
Я думаю всем известно понятие php и sql-инекция. этот фикс вам поможет защитить свой скрипт от такого рода дияний.

Инструкция:
 
Зачем так сложно?

Защита от XSS некоторых случаях..спасает.
Код:
function xss_security() {
            $url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));
    if ($url) {
            if((strpos($url, '<') !== false)   AND
            (strpos($url, '>') !== false)   AND
            (strpos($url, '"') !== false)   AND
            (strpos($url, './') !== false)  AND
            (strpos($url, '../') !== false) AND
            (strpos($url, '\'') !== false)  AND
            (strpos($url, '.php') !== false) AND
            (strpos($url, '(') !== false)   AND
            (strpos($url, ')') !== false)   AND
            (strpos($url, '/*') !== false)) return  die("Hacked!!");
    }
           $url = html_entity_decode(urldecode($_SERVER['REQUEST_URI']));
    if($url) {
        if((strpos( $url, '<' ) !== false) AND
           (strpos( $url, '>' ) !== false) AND
           (strpos( $url, '"' ) !== false) AND 
           (strpos( $url, '\'' ) !== false) AND
           (strpos($url, '(') !== false)   AND
           (strpos($url, ')') !== false)   AND
           (strpos($url, '/*') !== false))  return die("Hacked!!");
    }
}

Защита от SQL иньекций,это прямые руки при передаче запросов.
Лучше входящие данные фильтрировать функциями filter_var

Дальше..php иньекции..это мы что щас в каменном веке живем?.
Простая защита от пхп иньекций это константы и проверка.

Кстати насчет инклуда с помощью http..Прикол в том,что инклуд с других серверов мало где разрешен при правельной настройке php...на многих хостерах(почти 99%) данная возможность запрещена.
 
Инклюд хттп доступ у любого платного хостера :) это первое.

Дальше..php иньекции..это мы что щас в каменном веке живем?. - не в каменном ))) но у каждого свой уровень знаний. Людям проще заинклюдить чем проверки ставить. это второе

ЗЫ у тебя код такой же длинный что и у меня только у меня там Php-inj And Sql-inj а у тебя только sql *wink*
 
лучший способ - использовать вменяемый фреймворк где все давно реализовано, например Kohana, сам пользуюсь, никогда не сталкивался с проблемой инъекций, так как там есть целый класс Validate для фильтрации по типам переменных вплоть до E-mail Phone и тд, темболее отлично модульно расштряется теми же Sprig или Jelly
а эти коды нагружают сервер?
любая глобальная фильтрация нагружает сервер, конечно лучше производить фильтрацию переменных отдельно но в 90% случаев какие-то переменные всеравно теряются при фильтрации потому лучше жертвовать оперативкой на глобальную фильтрацию.
 

Похожие темы

Сверху