реврайтинг и sql инъекции

lena berkova · 7 Авг 2009

дает ли это 100% гарантию от инъекций , если данные из форм не вводятся, только запрос через урл

myweb · 8 Авг 2009

какая разница кудой данные передаются, можно даже через кукиси

omfg · 8 Авг 2009

Запрос через урл это как, гетом?
Так при таком раскладе наоборот вероятней всего сикуэль инъекция.

100% гарантии не может сделать никто, все время открываются новые уязвимости. Просто старайся фильтровать ВСЕ входящие данные на сервере, приводить к, например, числовому виду, смотреть возможный диапозон. Да много уже на эту тему написано

lena berkova · 8 Авг 2009

вопрос был в том, что данные передаются через реврайт. т.е. в регулярку можно вставить только буквы и цифры, а спецсимволы отсеивать. получается безопаснее?

omfg · 8 Авг 2009

Вообще принимай только те данные которые тебе нужны. Главное экранируй все перед запросом, или пропускай через htmlspecialchars() перед выводом на страницу.
Чем уже диапозон того что ты пропускаешь - тем конечно лучше и безопаснее

PapaJoe · 8 Авг 2009

lena berkova написал(а):
получается безопаснее?

Да, пока злоумышленник не найдет скрипт, который прячется за реврайтом, и не будет передавать данные напрямую ему.

myweb · 9 Авг 2009

MONtrade написал(а):
Да, пока злоумышленник не найдет скрипт, который прячется за реврайтом, и не будет передавать данные напрямую ему.

НО в реврайте можно задать дополнительній параметр который буде проверять скрипт и если его нету отправляем куда по дальше

Например

PHP:

...
RewriteRule ^([A-Za-z0-9_]+)/([0-9]+)$ index.php?url_path=$1&page=$2&key=good123
...

saen · 9 Авг 2009

myweb написал(а):
НО в реврайте можно задать дополнительній параметр который буде проверять скрипт и если его нету отправляем куда по дальше

Например

PHP:

... RewriteRule ^([A-Za-z0-9_]+)/([0-9]+)$ index.php?url_path=$1&page=$2&key=good123 ...

быдлокод. ты при каждом обновлении страницы будешь htaccess перезаписывать? или того хуже у тебя параметр key будет статичным?

myweb · 9 Авг 2009

saen написал(а):
быдлокод. ты при каждом обновлении страницы будешь htaccess перезаписывать? или того хуже у тебя параметр key будет статичным?

Конечно статичным, а что ему мешает быть статичным, етого хватить с головой для кулхацкеров

Fedotishe · 10 Авг 2009

По моему никакого эффекта это не даст.
Что мешает передавать скрипку параметры таким образом:
Для просмотра ссылки Войди или Зарегистрируйся?par=value
Это не обработаеться как дополнительные параметры?

реврайтинг и sql инъекции

lena berkova

Местный житель

myweb

Среда обитания WEB

omfg

Профессор

lena berkova

Местный житель

omfg

Профессор

PapaJoe

Мой дом здесь!

myweb

Среда обитания WEB

saen

Постоялец

myweb

Среда обитания WEB

Fedotishe

Создатель