реврайтинг и sql инъекции

Тема в разделе "PHP", создана пользователем lena berkova, 7 авг 2009.

Статус темы:
Закрыта.
Модераторы: latteo
  1. lena berkova

    lena berkova

    Регистр.:
    14 янв 2009
    Сообщения:
    441
    Симпатии:
    19
    дает ли это 100% гарантию от инъекций , если данные из форм не вводятся, только запрос через урл
     
  2. myweb

    myweb Среда обитания WEB

    Регистр.:
    10 сен 2007
    Сообщения:
    539
    Симпатии:
    246
    какая разница кудой данные передаются, можно даже через кукиси:D
     
  3. omfg

    omfg

    Регистр.:
    4 авг 2009
    Сообщения:
    159
    Симпатии:
    46
    Запрос через урл это как, гетом?
    Так при таком раскладе наоборот вероятней всего сикуэль инъекция.

    100% гарантии не может сделать никто, все время открываются новые уязвимости. Просто старайся фильтровать ВСЕ входящие данные на сервере, приводить к, например, числовому виду, смотреть возможный диапозон. Да много уже на эту тему написано
     
  4. lena berkova

    lena berkova

    Регистр.:
    14 янв 2009
    Сообщения:
    441
    Симпатии:
    19
    вопрос был в том, что данные передаются через реврайт. т.е. в регулярку можно вставить только буквы и цифры, а спецсимволы отсеивать. получается безопаснее?
     
  5. omfg

    omfg

    Регистр.:
    4 авг 2009
    Сообщения:
    159
    Симпатии:
    46
    Вообще принимай только те данные которые тебе нужны. Главное экранируй все перед запросом, или пропускай через htmlspecialchars() перед выводом на страницу.
    Чем уже диапозон того что ты пропускаешь - тем конечно лучше и безопаснее
     
  6. PapaJoe

    PapaJoe

    Регистр.:
    4 авг 2008
    Сообщения:
    620
    Симпатии:
    312
    Да, пока злоумышленник не найдет скрипт, который прячется за реврайтом, и не будет передавать данные напрямую ему.
     
  7. myweb

    myweb Среда обитания WEB

    Регистр.:
    10 сен 2007
    Сообщения:
    539
    Симпатии:
    246
    НО в реврайте можно задать дополнительній параметр который буде проверять скрипт и если его нету отправляем куда по дальше;)

    Например
    PHP:
    ...
    RewriteRule ^([A-Za-z0-9_]+)/([0-9]+)$ index.php?url_path=$1&page=$2&key=good123
    ...
     
  8. saen

    saen

    Регистр.:
    6 авг 2006
    Сообщения:
    756
    Симпатии:
    129
    быдлокод. ты при каждом обновлении страницы будешь htaccess перезаписывать? или того хуже у тебя параметр key будет статичным?
     
  9. myweb

    myweb Среда обитания WEB

    Регистр.:
    10 сен 2007
    Сообщения:
    539
    Симпатии:
    246
    Конечно статичным, а что ему мешает быть статичным, етого хватить с головой для кулхацкеров:D
     
  10. Fedotishe

    Fedotishe Создатель

    Регистр.:
    6 апр 2009
    Сообщения:
    10
    Симпатии:
    1
    По моему никакого эффекта это не даст.
    Что мешает передавать скрипку параметры таким образом:
    Перейти по ссылке?par=value
    Это не обработаеться как дополнительные параметры?
     
Статус темы:
Закрыта.