Статья про анти sql-inj

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.

Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.

⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

#11

18.12.2009, 18:17

phpdreamer

Постоянный

Регистрация: 26.07.2009

Сообщений: 321

Провел на форуме:
444589

Репутация: 123

Отправить сообщение для phpdreamer с помощью ICQ

что думаете про такой подход?

PHP код:


		
			
function antihack () {  

  

$uri = $_SERVER['REQUEST_URI']; //определяем адрес запрашиваемой страницы  

  

$arr_u = explode("?", $uri ); //разделяем адрес на массив  

$url = $arr_u[0];  //того что до знака ?   

$p_url = $arr_u[1]; // и того что после  

  

  

$inj='/script|http|<|>|<|>|SELECT|UNION|UPDATE|AND|exe|exec|INSERT|tmp/i'; //это паттерн возможных типов атак в адресе (их можно дополнить своими)  

  

  

if (preg_match($inj, $p_url )) { // ищем патерн в нашем адресе, в том что за знаком ?  

  

    die("Hacking attempt!"); //если находим - посылаем куда подальше :=)  

}  

}

взято с http://phpmaster.su/php-faq/8-kak-zashhititsya-ot-sql-inekcij-xss-atak-na-php.html
много чего можно добавить к этому коду, но сам подход..?