ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
03.01.2007, 22:01
|
|
Постоянный
Регистрация: 14.05.2006
Сообщений: 334
Провел на форуме:
1543521
Репутация:
272
|
|
Защита от SQL-enjection
Короче нужна такая функция, которай я передаю переменную, а она ее обрабатывает и делает безопасной от XSS и SQL-enjection. Функция должна изменять переменную в своем теле (по ссылке), и если переменная была опасна вернуть TRUE иначе FALSE.
Вот что получилось у меня:
Код:
<?php
function filter(&$value)
{
$b=FALSE;
if(strpos($value,"'"))
{
$value=str_replace("'","",$value);
$b=TRUE;
}
if(strpos($value,";"))
{
$value=str_replace(";","",$value);
$b=TRUE;
}
if(strpos($value,"/"))
{
$value=str_replace("/","",$value);
$b=TRUE;
}
if(strpos($value,"<"))
{
$value=str_replace("<","",$value);
$b=TRUE;
}
if(strpos($value,">"))
{
$value=str_replace(">","",$value);
$b=TRUE;
}
return $b;
}
?>
Ну а юзать эту функцию премерно вот так:
Код:
$name=$_POST["name"];
if(filter($name))
{echo "you cant use symbols ',/ here";exit;}
Тока не говорите нафига изменять переменную, если все равно выхожу из скрипта (exit; ). Это на тот случай если выходить не прийдеться, а еще и юзать дальше эту переменную. Ведь я не знаю как дальше будет развиваться все остальное, ради чего я и пишу этот скрипт.
Я фигово разбираюсь во всех атаках, поэтому прошу добавить/исправить код, чтобы он был неуязвим )) даже в том случае, если эту переменну прийдеться использовать дальше как в БД, так и выводить в страницу. |
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Древовидный вид