Помощь по скриптам | sql инъекции
YMGYROFF
AdsNet , есть 3 основных вида уязвимости из-за ошибок сайтостроителя, это sqlinj, как было упомянуто, ошибка экранирования в формах или XSS и прямое внедрение в php код куда можно отнести исполнение загружаемых файлов. SQL inj избавляемся оберткой для SQL API которая предотвращает иньекцию
от XSS избавляемся классом для форм, который предусматривает экранирование выводимых данных
ну и от вредоносных файлов так же классом загрузки можно оградиться. Как дополнительная мера можно предотвращать исполнение файлов, которые не помечены специальным маркером. Ну и конечно детектирование и блокировка IP и далее разбор проблемы если это случилось ))
Сибирский от XSS избавляемся классом для форм, который предусматривает экранирование выводимых данных
ну и от вредоносных файлов так же классом загрузки можно оградиться. Как дополнительная мера можно предотвращать исполнение файлов, которые не помечены специальным маркером. Ну и конечно детектирование и блокировка IP и далее разбор проблемы если это случилось ))
Сибирский , я понял спасибо
Вежливый Орк
AdsNet , фигасе ты понятливый :) Эта борьба идет постоянно с переменным успехом :) Как только мастера избавляются от одного вида проникновения, другие мастера придумывают другие способы :) А ты бац и сразу все понял ))
Сибирский , да что тут не понять от одного избавился другое появилось.
Теперь надо исправлять эти нюансы
________
посл. ред. 23.10.2019 в 10:42; всего 1 раз(а); by AdsNet
Теперь надо исправлять эти нюансы
________
посл. ред. 23.10.2019 в 10:42; всего 1 раз(а); by AdsNet
AdsNet , ну конкретно по твоему вопросу - делай обертки для вызовов SQL API обертки уже будут экранировать все. Хотя есть готовая PDO. ну как мне она монстроподобная и крайне неудобна для ООП, впрочем как и для всего остального )
Стр.: 1, 2